Las instituciones financieras como las empresas comerciales y de corretaje son el objetivo de una nueva campaña que ofrece un acercamiento remoto previamente no reportado que Trojan llamó Godrat.
La actividad maliciosa implica la “distribución de archivos maliciosos .SCR (frugal de pantalla) disfrazados de documentos financieros a través de Skype Messenger”, dijo el investigador de Kaspersky Saurabh Sharma en un prospección técnico publicado hoy.
Los ataques, que han estado activos tan recientemente como el 12 de agosto de 2025, emplean una técnica indicación esteganografía para ocultar en el interior de los archivos de imagen que Shellcode se usa para descargar el malware de un servidor de comando y control (C2). Los artefactos del hucha de pantalla se han detectado desde el 9 de septiembre de 2024, dirigidos a países y territorios como Hong Kong, los Emiratos Árabes Unidos, Líbano, Malasia y Jordania.
Se evalúa en colchoneta a GH0st RAT, Godrat sigue un enfoque basado en complementos para aumentar su funcionalidad para cosechar información confidencial y entregar cargas aperos secundarias como Asyncrat. Vale la pena mencionar que GH0ST RAT tuvo su código fuente filtrado públicamente en 2008 y desde entonces ha sido adoptivo por varios grupos de piratería chinos.
La compañía de ciberseguridad rusa dijo que el malware es una transformación de otra puerta trasera basada en ratas GH0 conocida como AwesomePuppet que se documentó por primera vez en 2023 y que probablemente se cree que es la obra del prolífico actor de amenazas chino, Winnti (asimismo conocido como ATKA APT41).
Los archivos de hucha de pantalla actúan como un ejecutable de autoextraces que incorpora varios archivos integrados, incluida una DLL maliciosa que es resurgida por un ejecutable legal. El DLL extrae ShellCode oculto en el interior de un archivo de imagen .jpg que luego allana el camino para el despliegue de Godrat.
El troyano, por su parte, establece la comunicación con el servidor C2 a través de TCP, recopila información del sistema y extrae la letanía de software antivirus instalado en el host. Los detalles capturados se envían al servidor C2, luego de lo cual el servidor contesta con instrucciones de seguimiento que le permiten –
- Inyectar un complemento recibido DLL en la memoria
- Pestillo el enchufe y termine el proceso de rata
- Descargue un archivo de una URL proporcionada y inicielo utilizando la API CreateProcessa
- Broa una URL dada usando el comando shell para desplegar Internet Explorer
Uno de los complementos descargados por el malware es un Filemanager DLL que puede enumerar el sistema de archivos, realizar operaciones de archivos, desplegar carpetas e incluso ejecutar búsquedas de archivos en una ubicación específica. El complemento asimismo se ha utilizado para ofrecer cargas aperos adicionales, como un robador de contraseñas para los navegadores de Google Chrome y Microsoft Edge y el Troyano Asyncrat.
Kaspersky dijo que descubrió el código fuente completo para el cliente y constructor de Godrat que se cargó al escáner de malware en crencha Virustotal a fines de julio de 2024. El constructor se puede usar para suscitar un archivo ejecutable o una DLL.
Cuando se elige la opción ejecutable, los usuarios tienen la opción de distinguir un binario legal de una letanía a la que se inyecta el código zorro en: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe y qqsclauncher.exe. La carga útil final se puede velar con uno de los siguientes tipos de archivos: .exe, .com, .bat, .scr y .pif.
“Las viejas bases de código de implantes, como la rata GH0st, que tienen casi dos décadas de pasado, se continúan siendo utilizadas hoy”, dijo Kaspersky. “Estos a menudo son personalizados y reconstruidos para atacar a una amplia viso de víctimas”.
“Se sabe que estos viejos implantes han sido utilizados por varios actores de amenazas durante mucho tiempo, y el descubrimiento de Godrat demuestra que las bases de código heredadas como GH0st Rat aún pueden prolongar una larga vida útil en el panorama de la ciberseguridad”.
