El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha descubierto GodRAT, un nuevo troyano de acceso remoto (RAT) distribuido mediante archivos de protector de pantalla maliciosos, presentados como documentos financieros y enviados a través de Skype. Las pymes de Emiratos Árabes Unidos y Hong Kong estuvieron entre los objetivos de la campaña.
El actor de amenaza desplegó un nuevo troyano de acceso remoto (RAT), denominado GodRAT, que fue detectado en el código fuente de un cliente tras ser subido a un escáner en línea ampliamente utilizado en julio de 2024.
Para evadir la detección, los atacantes emplearon esteganografía para incrustar shellcode dentro de archivos de imagen que mostraban datos financieros. Este shellcode descarga el malware GodRAT desde un servidor de Comando y Control (C2). El RAT establece una conexión TCP con el servidor C2 utilizando el puerto especificado en su configuración. Recopila detalles del sistema operativo, el nombre del equipo local, el nombre y el ID del proceso del malware, la cuenta de usuario asociada al proceso del malware, el software antivirus instalado y la presencia de un controlador de captura.
GodRAT es compatible con plugins adicionales y, una vez instalado, los atacantes utilizan el plugin FileManager para explorar los sistemas de la víctima y emplean herramientas diseñadas para robar contraseñas almacenadas en los navegadores Chrome y Microsoft Edge. Además de GodRAT, también utilizan AsyncRAT como implante secundario para mantener un acceso prolongado.
«GodRAT parece ser una evolución de AwesomePuppet, reportado por Kaspersky en 2023 y probablemente vinculado al APT Winnti. Sus métodos de distribución, parámetros raros en la línea de comandos, similitudes de código con Gh0st RAT y artefactos compartidos — como una firma digital distintiva — sugieren un origen común. A pesar de tener casi dos décadas de antigüedad, las bases de código de implantes heredados como Gh0st RAT siguen siendo utilizadas activamente por actores de amenaza, quienes frecuentemente las personalizan y reconstruyen para atacar a una amplia variedad de víctimas. El descubrimiento de GodRAT demuestra cómo estas herramientas conocidas desde hace mucho tiempo pueden seguir siendo relevantes en el panorama actual de la ciberseguridad», comenta Saurabh Sharma, investigador de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.
Más información disponible en Securelist.com.
Para mantenerse protegido, Kaspersky recomienda:
Actualizar regularmente el sistema operativo, el navegador, el antivirus y otros programas. Los delincuentes suelen aprovechar vulnerabilidades en el software para comprometer los sistemas.
Para proteger a la empresa contra este tipo de amenazas, utilice las soluciones de la línea de productos Kaspersky Next, que ofrecen protección en tiempo real, visibilidad de amenazas, así como capacidades de investigación y respuesta de EDR y XDR para organizaciones de cualquier tamaño y sector.
Activar la opción “Mostrar extensiones de archivo” en la configuración de Windows. Esto facilita la identificación de archivos potencialmente maliciosos. Como los troyanos son programas, se debe tener especial cuidado con extensiones como “.exe”, “.vbs” y “.scr”. Es importante mantenerse alerta, ya que muchos tipos de archivos aparentemente inofensivos también pueden ser peligrosos. Los estafadores pueden utilizar varias extensiones para hacer pasar un archivo malicioso por un video, una foto o un documento (por ejemplo: hot-chics.avi.exe o doc.scr).
