Отправить заявку

Для уточнения цены и количества товара заполните, пожалуйста, данную форму. При необходимости прикрепите файл

Файл заявки
*
- поле, обязательное для заполнения
Защита от автоматического заполнения  
Подтвердите, что вы не робот*

GodRAT: скрытый троянец для удалённого доступа маскируется под финансовые файлы

GodRAT: скрытый троянец для удалённого доступа маскируется под финансовые файлы
Содержание

    Специалисты из Глобального центра исследования и анализа угроз (Kaspersky GReAT) «Лаборатории Касперского» раскрыли очередную вредоносную программу для удаленного доступа к компьютерам, названную GodRAT.

    Злоумышленники рассылают ее через поддельные финансовые документы, которые на самом деле являются вредоносными файлами с расширением .scr. Изначально атаки велись через Skype, но с марта текущего года киберпреступники перешли на альтернативные каналы распространения.

    Основными жертвами стали компании малого и среднего бизнеса, прежде всего действующие в отрасли трейдинга и брокерских услуг, из ОАЭ, Гонконга, Иордании и Ливана.

    Что представляет собой GodRAT?

    Исходный код этого троянца был обнаружен в одном из популярных онлайн-сервисов для проверки файлов на вирусы, куда он был загружен еще в июле 2024 года.

    По завершении проникновения на устройство GodRAT собирает разнообразную информацию: данные об ОС, имени компьютера в сети, запущенных процессах, учетной записи пользователя и установленных антивирусных решениях.

    Как работают преступники?

    GodRAT обладает модульной структурой и совместим с дополнительными плагинами, это расширяет его возможности. В рамках проанализированной атаки, преступники применяли модуль FileManager с целью изучения зараженных систем и специальные программы-воры (стилеры) ради кражи логинов и паролей из браузеров Chrome и Microsoft Edge.

    Для большей эффективности и скрытности вместе с GodRAT использовался и другой троянец — AsyncRAT, что позволяло дольше оставаться незамеченными в системе.

    Атакующие прилагают значительные усилия, чтобы скрыть свое присутствие. Помимо самого троянца, в распоряжении экспертов оказался так называемый билдер — это средство, обеспечивающее сборку GodRAT. Он дает возможность выбирать легитимный файл, в который будет внедрен вредоносный код.

    К тому же, преступники применяли стеганографию — технику сокрытия информации внутри изображения. В данном случае в файле с якобы финансовой информацией был спрятан вредоносный шелл-код.

    Мнение эксперта

    «GodRAT — это усовершенствованная версия троянца AwesomePuppet, обнаруженного нами в 2023 году и возможно связанного с кибергруппировкой Winnti. На связь между этими угрозами свидетельствуют схожие способы распространения, конкретные команды, которые используются для запуска, фрагменты кода, почти идентичные коду давно известного троянца Gh0st RAT, и одинаковые следы в системе. Преступники зачастую дорабатывают и модифицируют прошлые злонамеренные дистрибутивы, с целью максимального охвата жертв. Данный случай наглядно иллюстрирует, что инструменты, созданные много лет назад, по-прежнему входят в арсенал злоумышленников и представляют реальную опасность в текущих условиях», — прокомментировал Леонид Безвершенко, старший эксперт Kaspersky GReAT

    Рекомендации по безопасности

    Чтобы обезопасить себя от аналогичных атак, «Лаборатория Касперского» советует предприятьям:

    • Постоянно осуществлять обучение работников основам IT-безопасности, а также учить их идентифицировать фишинговые письма. Среди доступных инструментов можно выделить Kaspersky Automated Security Awareness Platform.
    • Внедрять многосторонние продукты с целью безопасности компьютерной техники, каковые способны обнаруживать и останавливать кибератаки в самом начале, такие как продукты из серии Kaspersky Symphony.

    Справка о Kaspersky GReAT

    Kaspersky GReAT, всемирный штаб по изучению и оценке угроз международного масштаба, ведет свою историю с 2008 года. Главное назначение — нахождение и анализ самых сложных кибератак, кампаний по кибершпионажу, новых способов заражения и уязвимостей нулевого дня. На текущий момент в составе штаба работают свыше тридцати профессионалов, действующих по всему миру — от Европы до Азии, включая РФ, Южную Америку и Ближний Восток. Они знамениты собственными успехами в расследовании преимущественно непростых инцидентов, включая кампании кибершпионажа и саботажа.

    Хотите узнать больше о решениях Лаборатории Касперского? Обратитесь к нам за профессиональной консультацией.

    Свяжитесь с нами сейчас по номеру +7 (495) 984-33-83 или отправьте заявку на нашу почту: shop@spectrasoft.ru и обеспечьте надежную кибербезопасность уже сегодня.


    Опубликовано 22 августа 2025

    Оцените материал!

    (Нет голосов)

    Отзывы (0)

    Добавить отзыв

    Наиболее интересные материалы

    «Высокий сезон» открывает ASUS

    За месяц до новогодних праздников начался сезон распродаж. В 2015 году он открылся поступлением на рынок моноблока ASUS Zen AiO Pro. Компьютерная техника впервые была продемонстрирована в сентябре на берлинской выставке IFA.

    «Боцман» 3.2: версия, в которой ИБ видит всё, а разработчики работают быстрее

    «Боцман» 3.2 делает контейнерную платформу одновременно прозрачнее для служб ИБ и удобнее для инженеров. Обновление расширяет аудит событий, включая SSO, упрощает диагностику за счёт работы с несколькими терминалами и поддерживает параллельные сессии. В результате команды получают больше контроля над доступом и тратят меньше времени на отладку и сопровождение.

    Компания Спектрасофт совместно с IT-дистрибьютором Treolan провели воркшоп
    Компания Спектрасофт совместно с IT-дистрибьютором Treolan провели воркшоп по настройке базовой инфраструктуры в облачной платформе Microsoft Azure
    Компания МойОфис, объявила о выпуске сертифицированной почтовой системы "Mailion. Сертифицированный".

    Компания МойОфис выпустила новую версию почтовой системы "Сертифицированный", которая предназначена для обеспечения безопасности информации в крупных коммерческих и государственных организациях.

    Добавить комментарий