Фахівці «Лабораторії Касперського» виявили складну кіберзагрозу під назвою GodRAT — прогресивний троян віддаленого доступу (RAT), який спеціально націлений на підприємства малого та середнього бізнесу у фінансовому секторі. Основними цілями атак стають трейдингові та брокерські компанії, що працюють у регіонах Близького Сходу та Азії.
Механізми розповсюдження та технології маскування
Кіберзлочинці застосовують витончені методи доставки шкідливого програмного забезпечення, маскуючи GodRAT під легітимні фінансові документи з розширенням .scr. До березня 2025 року основним каналом поширення виступав месенджер Skype, проте після його закриття хакери швидко адаптувалися та перейшли на альтернативні комунікаційні платформи.
Особливу небезпеку становить використання стеганографії — передової технології приховування зловмисного коду всередині звичайних файлів зображень. Цей підхід дозволяє обходити традиційні системи захисту, оскільки файл зовні виглядає як звичайне зображення з фінансовими даними, не викликаючи підозр у користувачів та антивірусних рішень.
Функціональні можливості та архітектура трояна
Після успішного проникнення в систему GodRAT розгортає широкий спектр шкідливих функцій. Троян автоматично збирає критично важливу інформацію про заражений пристрій, включаючи детальні відомості про операційну систему, локальне ім’я хоста, ідентифікатори процесів, дані облікових записів користувачів та інформацію про встановлене захисне програмне забезпечення.
Модульна архітектура дозволяє трояну підтримувати додаткові плагіни, що значно розширює його функціональність. Дослідники виявили використання модуля FileManager для аналізу заражених систем та спеціалізованих програм-стілерів для крадіжки облікових даних із популярних браузерів Chrome та Microsoft Edge.
Зв’язок з відомими кіберзлочинними угрупованнями
Аналіз коду та методів роботи GodRAT вказує на його зв’язок з кібергрупою Winnti та являє собою еволюційний розвиток раніше виявленого трояна AwesomePuppet. Схожість з легендарним Gh0st RAT, який активно використовується хакерами протягом останніх десятиліть, підтверджує спадкоємність у розробці сучасних кіберзагроз.
Архів з інструментом під назвою “GodRAT V3.5_______dll.rar” містить не лише сам троян, але й спеціальний білдер для швидкого створення модифікованих версій. Цей інструмент дозволяє зловмисникам обирати легітимні файли для впровадження шкідливого навантаження, що суттєво спрощує процес створення нових варіантів загрози.
Стратегія довготривалого контролю
Для забезпечення тривалого контролю над скомпрометованими системами кіберзлочинці використовують багаторівневу стратегію зараження. Окрім основного трояна GodRAT, вони розгортають додатковий імплант AsyncRAT, що створює резервні канали доступу та ускладнює процес виявлення й видалення загрози.
Географічний розподіл атак
Згідно з телеметричними даними, найбільша активність GodRAT зафіксована у чотирьох ключових регіонах: ОАЕ, Гонконзі, Йорданії та Лівані. Такий географічний розподіл свідчить про цілеспрямований характер кампанії та спеціалізацію на фінансових ринках цих юрисдикцій.
Поява GodRAT демонструє постійну еволюцію кіберзагроз та необхідність адаптації захисних заходів до нових реалій. Фінансовим організаціям критично важливо впровадити багаторівневі системи безпеки, що включають прогресивні методи детектування, регулярне навчання співробітників основам кібергігієни та постійний моніторинг мережевої активності для своєчасного виявлення підозрілої поведінки.
