Это троян, поражающий малый и средний бизнес: он прячется внутри предполагаемых финансовых файлов.

Исследователи «Лаборатории Касперского» обнаружили новый троян удалённого доступа (RAT) , который стал серьёзной угрозой для малого и среднего бизнеса (МСП) в нескольких странах. Вредоносное ПО, получившее название GodRAT , было обнаружено в середине 2024 года и распространялось преимущественно через вредоносные файлы заставок, выдаваемые за финансовые документы и отправляемые через Skype, до марта 2025 года, когда его операторы начали использовать другие каналы для расширения кампании.

Согласно анализу экспертов, основными целями были предприятия малого и среднего бизнеса в Объединенных Арабских Эмиратах, Гонконге, Иордании и Ливане. Метод распространения заключался в том , что вредоносное ПО скрывалось в файлах изображений, которые, по всей видимости, отображали финансовые данные. После того, как жертва открывала их, система подключалась к удалённому серверу для загрузки GodRAT и начала процесса сбора информации.

GodRAT предназначен для получения основных данных со скомпрометированного устройства, таких как операционная система, имя компьютера, учётная запись пользователя, установленное программное обеспечение и наличие активных защитных программ . Он также поддерживает дополнительные плагины, расширяющие его возможности.

Одним из наиболее часто используемых злоумышленниками дополнений является FileManager, позволяющий им просматривать файлы и каталоги в зараженной системе. Кроме того, злоумышленники используют специализированные инструменты для извлечения паролей, сохранённых в таких браузерах, как Google Chrome и Microsoft Edge, что повышает риск утечки конфиденциальных данных.

Чтобы обеспечить устойчивость к взломанным системам, операторы кампании также используют AsyncRAT — вторичный имплант, который действует как резерв в случае обнаружения или удаления GodRAT.

По словам Лисандро Убиедо, старшего аналитика по безопасности в группе глобальных исследований и анализа «Лаборатории Касперского» в Латинской Америке, GodRAT может быть развитием AwesomePuppet, еще одной RAT, обнаруженной в 2023 году и связанной с группой продвинутых постоянных угроз (APT), известной как Winnti.

«Их методы распространения, отличительные ключи командной строки, сходство кода с Gh0st RAT и общие артефакты, такие как отличительная цифровая подпись, указывают на общее происхождение. Несмотря на почти двадцатилетнюю историю, кодовые базы устаревших имплантов, таких как Gh0st RAT, продолжают активно использоваться злоумышленниками, которые часто модифицируют и перестраивают их для атак на самые разные жертвы», — пояснил Убьедо.

Это открытие демонстрирует, что инструменты, известные уже почти два десятилетия, по-прежнему представляют реальную угрозу для организаций любого размера, особенно по мере того, как злоумышленники обновляют их функционал и совершенствуют методы маскировки.

Столкнувшись с этой ситуацией, специалисты «Лаборатории Касперского» поделились рядом мер по снижению риска заражения и защите как отдельных пользователей, так и предприятий:

Малый и средний бизнес часто оказывается в числе наиболее пострадавших от подобных атак, поскольку во многих случаях у них отсутствуют надежные системы кибербезопасности или строгие политики обновления. Это делает их привлекательной целью для киберпреступников, стремящихся получить доступ к конфиденциальной информации или сохранить удаленный контроль над их системами для последующей преступной деятельности.

Обнаружение GodRAT демонстрирует, что цифровые угрозы продолжают развиваться и что, даже если они основаны на старом коде, их можно обновлять, чтобы они оставались эффективными. В этом контексте понимание рисков и инвестиции в технологическую защиту становятся критически важными для предотвращения успеха подобных кампаний.