Las instituciones financieras como las empresas comerciales y de corretaje son el objetivo de una nueva campaña que ofrece un golpe remoto previamente no reportado que Trojan llamó Godrat.
La actividad maliciosa implica la «distribución de archivos maliciosos .SCR (económico de pantalla) disfrazados de documentos financieros a través de Skype Messenger», dijo el investigador de Kaspersky Saurabh Sharma en un observación técnico publicado hoy.
Los ataques, que han estado activos tan recientemente como el 12 de agosto de 2025, emplean una técnica convocatoria esteganografía para ocultar interiormente de los archivos de imagen que Shellcode se usa para descargar el malware de un servidor de comando y control (C2). Los artefactos del economía de pantalla se han detectado desde el 9 de septiembre de 2024, dirigidos a países y territorios como Hong Kong, los Emiratos Árabes Unidos, Líbano, Malasia y Jordania.
Se evalúa en cojín a GH0st RAT, Godrat sigue un enfoque basado en complementos para aumentar su funcionalidad para cosechar información confidencial y entregar cargas enseres secundarias como Asyncrat. Vale la pena mencionar que GH0ST RAT tuvo su código fuente filtrado públicamente en 2008 y desde entonces ha sido recogido por varios grupos de piratería chinos.
La compañía de ciberseguridad rusa dijo que el malware es una proceso de otra puerta trasera basada en ratas GH0 conocida como AwesomePuppet que se documentó por primera vez en 2023 y que probablemente se cree que es la obra del prolífico actor de amenazas chino, Winnti (igualmente conocido como ATKA APT41).
Los archivos de economía de pantalla actúan como un ejecutable de autoextraces que incorpora varios archivos integrados, incluida una DLL maliciosa que es resurgida por un ejecutable seguro. El DLL extrae ShellCode oculto interiormente de un archivo de imagen .jpg que luego allana el camino para el despliegue de Godrat.
El troyano, por su parte, establece la comunicación con el servidor C2 a través de TCP, recopila información del sistema y extrae la serie de software antivirus instalado en el host. Los detalles capturados se envían al servidor C2, a posteriori de lo cual el servidor argumenta con instrucciones de seguimiento que le permiten –
- Inyectar un complemento recibido DLL en la memoria
- Cerradura el enchufe y termine el proceso de rata
- Descargue un archivo de una URL proporcionada y inicielo utilizando la API CreateProcessa
- Abrigo una URL dada usando el comando shell para inaugurar Internet Explorer
Uno de los complementos descargados por el malware es un Filemanager DLL que puede enumerar el sistema de archivos, realizar operaciones de archivos, inaugurar carpetas e incluso ejecutar búsquedas de archivos en una ubicación específica. El complemento igualmente se ha utilizado para ofrecer cargas enseres adicionales, como un robador de contraseñas para los navegadores de Google Chrome y Microsoft Edge y el Troyano Asyncrat.
Kaspersky dijo que descubrió el código fuente completo para el cliente y constructor de Godrat que se cargó al escáner de malware en vírgula Virustotal a fines de julio de 2024. El constructor se puede usar para gestar un archivo ejecutable o una DLL.
Cuando se elige la opción ejecutable, los usuarios tienen la opción de pretender un binario seguro de una serie a la que se inyecta el código bellaco en: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe y qqsclauncher.exe. La carga útil final se puede seguir con uno de los siguientes tipos de archivos: .exe, .com, .bat, .scr y .pif.
«Las viejas bases de código de implantes, como la rata GH0st, que tienen casi dos décadas de decrepitud, se continúan siendo utilizadas hoy», dijo Kaspersky. «Estos a menudo son personalizados y reconstruidos para atacar a una amplia viso de víctimas».
«Se sabe que estos viejos implantes han sido utilizados por varios actores de amenazas durante mucho tiempo, y el descubrimiento de Godrat demuestra que las bases de código heredadas como GH0st Rat aún pueden apoyar una larga vida útil en el panorama de la ciberseguridad».
