Facebook Linkedin Twitter Instagram Youtube Telegram

Nuevo troyano de acceso remoto que apunta a instituciones financieras a través de Skype

El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha descubierto GodRAT, un nuevo troyano de acceso remoto (RAT) distribuido mediante archivos de protector de pantalla maliciosos, presentados como documentos financieros y enviados a través de Skype. Las pymes de Emiratos Árabes Unidos y Hong Kong estuvieron entre los objetivos de la campaña.

El actor de amenaza desplegó un nuevo troyano de acceso remoto (RAT), denominado GodRAT, que fue detectado en el código fuente de un cliente tras ser subido a un escáner en línea ampliamente utilizado en julio de 2024.

Para evadir la detección, los atacantes emplearon esteganografía para incrustar shellcode dentro de archivos de imagen que mostraban datos financieros. Este shellcode descarga el malware GodRAT desde un servidor de Comando y Control (C2). El RAT establece una conexión TCP con el servidor C2 utilizando el puerto especificado en su configuración. Recopila detalles del sistema operativo, el nombre del equipo local, el nombre y el ID del proceso del malware, la cuenta de usuario asociada al proceso del malware, el software antivirus instalado y la presencia de un controlador de captura.

GodRAT es compatible con plugins adicionales y, una vez instalado, los atacantes utilizan el plugin FileManager para explorar los sistemas de la víctima y emplean herramientas diseñadas para robar contraseñas almacenadas en los navegadores Chrome y Microsoft Edge. Además de GodRAT, también utilizan AsyncRAT como implante secundario para mantener un acceso prolongado.

«GodRAT parece ser una evolución de AwesomePuppet, reportado por Kaspersky en 2023 y probablemente vinculado al APT Winnti. Sus métodos de distribución, parámetros raros en la línea de comandos, similitudes de código con Gh0st RAT y artefactos compartidos — como una firma digital distintiva — sugieren un origen común. A pesar de tener casi dos décadas de antigüedad, las bases de código de implantes heredados como Gh0st RAT siguen siendo utilizadas activamente por actores de amenaza, quienes frecuentemente las personalizan y reconstruyen para atacar a una amplia variedad de víctimas. El descubrimiento de GodRAT demuestra cómo estas herramientas conocidas desde hace mucho tiempo pueden seguir siendo relevantes en el panorama actual de la ciberseguridad», comenta Saurabh Sharma, investigador de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.

Imagen de Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.