Aug 19, 2025Ravie Lakshmananmalware / Cyber Attack Institutions, como las empresas comerciales y de corretaje, son el objetivo de una nueva campaña que ofrece un troyano de acceso remoto previamente no reportado llamado Godrat. La actividad maliciosa implica la «distribución de archivos maliciosos .SCR (ahorrador de pantalla) disfrazados de documentos financieros a través de Skype Messenger», dijo el investigador de Kaspersky Saurabh Sharma en un análisis técnico publicado hoy. Los ataques, que han estado activos tan recientemente como el 12 de agosto de 2025, emplean una técnica llamada esteganografía para ocultar dentro de los archivos de imagen que Shellcode se usa para descargar el malware de un servidor de comando y control (C2). Los artefactos del ahorro de pantalla se han detectado desde el 9 de septiembre de 2024, dirigidos a países y territorios como Hong Kong, los Emiratos Árabes Unidos, Líbano, Malasia y Jordania. Se evalúa en base a GH0st RAT, Godrat sigue un enfoque basado en complementos para aumentar su funcionalidad para cosechar información confidencial y entregar cargas útiles secundarias como Asyncrat. Vale la pena mencionar que GH0ST RAT tuvo su código fuente filtrado públicamente en 2008 y desde entonces ha sido adoptado por varios grupos de piratería chinos. La compañía de ciberseguridad rusa dijo que el malware es una evolución de otra puerta trasera basada en ratas GH0 conocida como AwesomePuppet que se documentó por primera vez en 2023 y que probablemente se cree que es la obra del prolífico actor de amenazas chino, Winnti (también conocido como ATKA APT41). Los archivos de ahorro de pantalla actúan como un ejecutable de autoextraces que incorpora varios archivos integrados, incluida una DLL maliciosa que es resurgida por un ejecutable legítimo. El DLL extrae ShellCode oculto dentro de un archivo de imagen .jpg que luego allana el camino para el despliegue de Godrat. El troyano, por su parte, establece la comunicación con el servidor C2 a través de TCP, recopila información del sistema y extrae la lista de software antivirus instalado en el host. Los detalles capturados se envían al servidor C2, después de lo cual el servidor responde con instrucciones de seguimiento que le permiten: inyectar un complemento recibido dll en la memoria Cerrar el socket y terminar el proceso de rata Descargar un archivo de una url proporcionada y iniciarlo usando la API de Createprocesa abrir un URL dado que el comando de shell para abrir el explorador de Internet, uno de los complementos descargados, el malware es un archivo de archivo que puede enumerar el archivo, el sistema de archivos, el sistema de los archivos, el sistema de archivo, que se desarrolla, el sistema de archivo, que puede abrir el archivo de archivo, lo que puede realizar el archivo de archivo, que se desarrolla, el sistema de archivo, es un archivo, que puede enumerar el archivo, que puede enumerar el archivo, el sistema, que puede enumerarse. carpetas e incluso ejecutar búsquedas de archivos en una ubicación especificada. El complemento también se ha utilizado para ofrecer cargas útiles adicionales, como un robador de contraseñas para los navegadores de Google Chrome y Microsoft Edge y el Troyano Asyncrat. Kaspersky dijo que descubrió el código fuente completo para el cliente y constructor de Godrat que se cargó al escáner de malware en línea Virustotal a fines de julio de 2024. El constructor se puede usar para generar un archivo ejecutable o una DLL. Cuando se elige la opción ejecutable, los usuarios tienen la opción de seleccionar un binario legítimo de una lista a la que se inyecta el código malicioso en: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe y qqsclauncher.exe. La carga útil final se puede guardar con uno de los siguientes tipos de archivos: .exe, .com, .bat, .scr y .pif. «Las viejas bases de código de implantes, como la rata GH0st, que tienen casi dos décadas de antigüedad, se continúan siendo utilizadas hoy», dijo Kaspersky. «Estos a menudo son personalizados y reconstruidos para atacar a una amplia gama de víctimas». «Se sabe que estos viejos implantes han sido utilizados por varios actores de amenazas durante mucho tiempo, y el descubrimiento de Godrat demuestra que las bases de código heredadas como GH0st Rat aún pueden mantener una larga vida útil en el panorama de la ciberseguridad».