Financiële instellingen zoals handels- en makelaarsbedrijven zijn het doelwit van een nieuwe campagne die een eerder niet -gerapporteerde externe toegang levert die Trojan wordt genoemd, genaamd Godrat.
De kwaadwillende activiteit omvat de “distributie van kwaadaardige .scr (schermafstand) bestanden vermomd als financiële documenten via Skype Messenger,” zei Kaspersky -onderzoeker Saurabh Sharma in een technische analyse die vandaag is gepubliceerd.
De aanvallen, die zo recent actief zijn geweest als 12 augustus 2025, maken gebruik van een techniek genaamd Steganography om te verbergen in afbeeldingsbestanden ShellCode die wordt gebruikt om de malware te downloaden van een opdracht-en-control (C2) -server. De schermafwijkingsartefacten zijn ontdekt sinds 9 september 2024, gericht op landen en gebieden zoals Hong Kong, de Verenigde Arabische Emiraten, Libanon, Maleisië en Jordanië.
Gericht te zijn gebaseerd op GH0st Rat, volgt Godrat een op plug-in gebaseerde benadering om zijn functionaliteit te vergroten om gevoelige informatie te oogsten en secundaire ladingen zoals asyncrat te leveren. Het is vermeldenswaard dat GH0st Rat zijn broncode in 2008 publiekelijk heeft gelekt en sindsdien is overgenomen door verschillende Chinese hackgroepen.
Het Russische Cybersecurity Company zei dat de malware een evolutie is van een andere GH0ST-op ratten gebaseerde achterdeur bekend als AwesomePuppet die voor het eerst werd gedocumenteerd in 2023 en waarschijnlijk wordt beschouwd als het handwerk van de productieve Chinese dreigingsacteur, Winnti (aka APT41).
De Screen Saver-bestanden fungeren als een uitvoerbaar uitvoerbaar bestand met verschillende ingebedde bestanden, waaronder een kwaadaardige DLL die wordt opzij gezet door een legitiem uitvoerbaar bestand. De DLL haalt shellcode uit verborgen in een .JPG -beeldbestand dat vervolgens de weg vrijmaakt voor de inzet van Godrat.
De Trojan vestigt van zijn kant communicatie met de C2 -server via TCP, verzamelt systeeminformatie en haalt de lijst met geïnstalleerde antivirussoftware op de host. De vastgelegde details worden naar de C2 -server verzonden, waarna de server reageert met vervolginstructies waarmee hij –
- Injecteer een ontvangen plug -in DLL in het geheugen
- Sluit de socket en beëindig het rattenproces
- Download een bestand van een meegeleverde URL en start het met behulp van de CreateProcessa API
- Open een bepaalde URL met behulp van de shell -opdracht voor het openen van internet explorer
Een van de plug -ins die door de malware worden gedownload, is een FilEmanager DLL die het bestandssysteem kan opsommen, bestandsbewerkingen kan uitvoeren, mappen kan openen en zelfs zoekopdrachten naar bestanden op een opgegeven locatie kan uitvoeren. De plug -in is ook gebruikt om extra payloads te leveren, zoals een wachtwoordstealer voor Google Chrome en Microsoft Edge -browsers en de asyncrat Trojan.
Kaspersky zei dat het de volledige broncode voor de Godrat -client en bouwer ontdekte die eind juli 2024 werd geüpload naar de Virustotal Online Malware -scanner. De bouwer kan worden gebruikt om een uitvoerbaar bestand of een DLL te genereren.
Wanneer de uitvoerbare optie is gekozen, hebben gebruikers de keuze om een legitiem binair getal te selecteren uit een lijst waarnaar de kwaadaardige code wordt geïnjecteerd in: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe en qqsclauncher.exe. De uiteindelijke payload kan worden opgeslagen met een van de volgende bestandstypen: .exe, .com, .bat, .scr en .pif.
“Oude implantaatcodebases, zoals GH0st Rat, die bijna twee decennia oud zijn, worden vandaag nog steeds gebruikt,” zei Kaspersky. “Deze worden vaak aangepast en herbouwd om zich te richten op een breed scala aan slachtoffers.”
“Van deze oude implantaten is bekend dat ze lange tijd door verschillende dreigingsacteurs zijn gebruikt, en de Godrat -ontdekking toont aan dat legacy -codebases zoals GH0st Rat nog steeds een lange levensduur kunnen handhaven in het landschap van cybersecurity.”
