8 ℃
Эксперты Kaspersky GReAT обнаружили новый троянец удалённого доступа, получивший название GodRAT. Он распространяется через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. Первоначально злоумышленники рассылали такие файлы через Skype, однако с марта 2025 года переключились на другие каналы распространения.
По данным исследователей, атаки нацелены в первую очередь на предприятия малого и среднего бизнеса — в частности, трейдинговые и брокерские компании — в ОАЭ, Гонконге, Иордании и Ливане.
После заражения устройства GodRAT собирает сведения об операционной системе, учётной записи пользователя, установленном защитном ПО, а также идентификаторы вредоносных процессов. Троянец поддерживает плагины: например, FileManager для анализа заражённых систем и программы-стилеры, похищающие данные из браузеров Chrome и Microsoft Edge. Дополнительно злоумышленники используют ещё один имплант — AsyncRAT, чтобы дольше оставаться в системе.
По информации специалистов, архив GodRAT V3.5_______dll.rar содержит также билдер — инструмент, позволяющий внедрять вредоносную нагрузку в легитимные файлы. Для маскировки кода злоумышленники применяют стеганографию, пряча его внутри изображений с якобы финансовыми данными.
«GodRAT — это эволюция троянца AwesomePuppet, обнаруженного нами в 2023 году, и, вероятно, связанного с кибергруппой Winnti. Обнаруженный зловред демонстрирует, что даже старые инструменты могут оставаться частью современного киберугрозового ландшафта. Мы не исключаем, что атаки могут распространиться и на другие страны, включая Беларусь», — отметил Леонид Безвершенко, старший эксперт Kaspersky GReAT.
Для защиты от подобных угроз специалисты рекомендуют организациям регулярно обучать сотрудников кибербезопасности, а также использовать комплексные решения для защиты корпоративных устройств.
