Os atores de ameaças têm empregado um romance Acesso remoto Trojan (Rat) Apelido Godrat, derivado da venerável Base de Código de Rato GH0ST, para se infiltrar em instituições financeiras, particularmente empresas de negociação e corretagem.
O malware é distribuído via Skype como malicioso .SCR (Screensaver) e .PIF (arquivo de informações do programa) executáveis, disfarçados de documentos financeiros legítimos, como listas de clientes ou dados de transação.
Essa tática explora a confiança do usuário em tipos de arquivos aparentemente inócuos, permitindo o acesso inicial.
Evolução do rato gh0st
Godrat representa uma evolução do backdoor AwesomePuppet relatado em 2023, compartilhando similaridades de código e métodos de distribuição, e provavelmente está ligado ao grupo Winnti Apt.
Os invasores empregam a Steganografia para ocultar o código de shell dentro dos arquivos de imagem, que depois baixam o rato de um servidor de comando e controle (C2).
Uma vez implantado, Godrat facilita as extensões baseadas em plug-in, com o plug-in FileManager usado para reconhecer sistemas de vítimas e implantar cargas secundárias, como ladrões de senha do navegador e Assíncrono Para acesso persistente.
A campanha permanece ativa em 12 de agosto de 2025, com detecções abrangendo Hong Kong, Emirados Árabes Unidos, Líbano, Malásia e Jordânia, destacando um foco direcionado nas entidades financeiras do Oriente Médio e asiático.
A implementação técnica do GODRAT é complexa, começando com carregadores de código de shell que injetam código malicioso em processos legítimos.
Uma variante de carregador XOR-Decodes incorporada Code usando uma chave codificada como “Oedbiu#iusbdgkjs@sihudvnso*skjbksds#sfdbnxfcb” e o executa em uma nova seção de memória.
Tem como alvo o setor financeiro
Outro auto-extração de arquivos incorporados executáveis, incluindo um carregador sdl2.dll assinado (MD5: 512778F0DE31FCCE281D87F00AFFA4A8) que extrai sconscode de imagens JPG que retratam os detalhes financeiros, injetando-o por meio de válvula.
De acordo com Kaspersky relatórioo shellcode procura as cordas “Godinfo”, decodifica configurações C2 com a chave XOR 0x63 e busca uma carga útil em segundo estágio contendo uma dll Godrat compactada UPX (nome interno: online.dll).
Essa DLL exporta uma função “Run” que verifica os argumentos da linha de comando, geralmente injetando processos como Curl.exe ou cmd.exe usando o parâmetro “-puppet” um aceno para sua herança impressionante.
Godrat coleta o sistema Intel, incluindo detalhes do sistema operacional, nome do host, PID, contas de usuário e presença de AV, compactando dados com ZLIB e codificação tripla XOR antes da transmissão C2.
Os comandos suportados incluem injeção de plug-in (por exemplo, FileManager para enumeração da unidade, operações de arquivo e execução de 7-ZIP), criação de processos em desktops padrão e aberturas de URL via Internet Explorer.
Os implantes secundários amplificam a ameaça: os ladrões de senha do cromo e da borda (MD5S: 31385291C01BB25D635D098F91708905 e CDD5C08B43238C47087A514D61C943) Extrato
Injetores assíncrados (por exemplo, MD5: 605F25606BB925D61CCC47F0150DB674) decodificar e injetar binários C# após corrigir as funções AMSI e ETW para evasão.
A análise do código -fonte revela a descida direta de Godrat do rato GH0ST, com construtores permitindo a personalização em executáveis como svchost.exe ou tipos de arquivos como .scr/.pif.
As diferenças do AwesomePuppet incluem manuseio de pacotes C2 aprimorado com um campo de “direção”, ressaltando melhorias iterativas no malware legado.
Essa persistência de ferramentas derivadas de GH0ST, com quase duas décadas de idade, ressalta o apelo duradouro de implantes personalizáveis para operações adequadas, pedindo às organizações que monitorem entregas anômalas do Skype, injeções incomuns de processo e comunicações C2.
Indicadores de compromisso
| Tipo | Indicador | Descrição |
|---|---|---|
| Hash Md5 | D09FD377D8566B9D7A5880649A0192B4 | Godrat Shellcode Injector |
| Hash Md5 | 512778F0DE31FCCE281D87F00AFFA4A8 | DLL do carregador de casca de godrat |
| Hash Md5 | 8008375EEC7550D6D8E0EAFT24389CF81 | Godrat dll |
| Hash Md5 | 31385291C01BB25D635D098F91708905 | RECULADOR DE SENHAÇÃO CHROME |
| Hash Md5 | 605F25606BB925D61CCC47F0150DB674 | Injetor assíncrono |
| Endereço IP | 103.237.92.191 | Servidor Godrat C2 |
| Domínio | wuwu6.cfd | Domínio assíncrono c2 |
| Caminho do arquivo | %AllUsersProfile% google chrome.exe | Colocação de roubos de cromo |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!