Kaspersky descubre GodRAT, un nuevo troyano que ataca a instituciones financieras a través de Skype
El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha identificado un nuevo troyano de acceso remoto (RAT), denominado GodRAT, dirigido contra instituciones financieras y distribuido mediante archivos maliciosos enviados a través de Skype. La campaña afectó principalmente a pymes en Emiratos Árabes Unidos y Hong Kong, lo que demuestra la orientación estratégica del ataque hacia sectores financieros regionales.
El malware fue detectado en julio de 2024 tras ser analizado en un escáner en línea. Para evadir las soluciones de seguridad, los atacantes recurrieron a técnicas de esteganografía, ocultando shellcode dentro de imágenes que simulaban contener datos financieros. Este código descargaba GodRAT desde un servidor de Comando y Control (C2), estableciendo una conexión TCP y recopilando información sensible del sistema comprometido, como nombre del equipo, usuario, antivirus instalado y la presencia de controladores de captura.
Una vez desplegado, GodRAT permite la instalación de plugins. Entre ellos, destaca FileManager, usado para explorar los sistemas de las víctimas, y módulos adicionales capaces de robar contraseñas almacenadas en navegadores como Chrome y Microsoft Edge. Los atacantes también recurrieron a AsyncRAT como implante secundario, garantizando así un acceso prolongado a las máquinas infectadas.
«GodRAT parece ser una evolución de AwesomePuppet, reportado por Kaspersky en 2023 y probablemente vinculado al APT Winnti. Sus métodos de distribución, parámetros raros en la línea de comandos, similitudes de código con Gh0st RAT y artefactos compartidos — como una firma digital distintiva — sugieren un origen común. A pesar de tener casi dos décadas de antigüedad, las bases de código de implantes heredados como Gh0st RAT siguen siendo utilizadas activamente por actores de amenaza, quienes frecuentemente las personalizan y reconstruyen para atacar a una amplia variedad de víctimas. El descubrimiento de GodRAT demuestra cómo estas herramientas conocidas desde hace mucho tiempo pueden seguir siendo relevantes en el panorama actual de la ciberseguridad», comenta Saurabh Sharma, investigador de seguridad del Equipo Global de Investigación y Análisis de la firma.
La empresa subraya que este hallazgo confirma cómo implantes heredados siguen siendo efectivos en el panorama actual de ciberseguridad, cuando son modificados con nuevas técnicas como la esteganografía.
El descubrimiento de GodRAT evidencia que los grupos de cibercrimen continúan aprovechando tanto técnicas innovadoras como herramientas heredadas para atacar al sector financiero global. La organización recomienda a las organizaciones reforzar sus defensas con actualizaciones periódicas, soluciones de protección avanzada, y medidas de prevención como activar la visibilidad de extensiones en Windows para evitar la ejecución de archivos maliciosos camuflados.
(silicon.es)
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones y productos de infraestructura para edificios y ciudades inteligentes (Sistemas BIM y BMS), POL (Passive Optical LAN). Seguridad integrada, video vigilancia y control de acceso. Casos de uso y aplicabilidad de cada solución y producto, incluyendo la colaboración digital (relacionado a realidad virtual sistema BIM) (Gemelos digitales). Buenas prácticas ambientales.», que estamos preparando para nuestra edición 216 y publicaremos en el mes de agosto.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.
