Le istituzioni finanziarie, in particolare società di trading e brokeraggio, sono attualmente bersaglio di una nuova campagna malevola che sfrutta un trojan remoto chiamato GodRAT. Questa minaccia si distingue per l’uso avanzato di tecniche come la steganografia e per il riutilizzo del codice sorgente di Gh0st RAT, un malware noto da anni e spesso adattato da gruppi di hacker cinesi.

Modalità di attacco

La modalità di attacco inizia con la diffusione di file .SCR (screen saver) travestiti da documenti finanziari inviati tramite Skype Messenger. Questi file, apparentemente innocui, sono in realtà eseguibili autoestraenti che contengono diversi file incorporati, tra cui una DLL malevola. Questa DLL viene caricata tramite un eseguibile legittimo e si occupa di estrarre shellcode nascosto all’interno di file immagine .JPG tramite steganografia. In questo modo, il codice dannoso riesce a passare inosservato ai controlli tradizionali.

Funzionamento di GodRAT

Una volta attivato, GodRAT stabilisce una connessione con un server di comando e controllo tramite protocollo TCP. Raccoglie informazioni sul sistema della vittima e sull’antivirus installato e invia questi dati al server, che risponde con istruzioni specifiche. Tra le azioni possibili ci sono l’iniezione di ulteriori plugin DLL in memoria, il download e l’esecuzione di nuovi file, l’apertura di URL specifici e la chiusura del processo RAT.

Modularità e plugin

Uno dei plugin più pericolosi è il FileManager, capace di esplorare il file system, eseguire ricerche e operazioni sui file e, soprattutto, scaricare ulteriori payload come stealer di password per browser come Google Chrome e Microsoft Edge, oltre al trojan AsyncRAT. Questo approccio modulare rende GodRAT estremamente versatile e adattabile.

Evoluzione e diffusione

Il malware GodRAT rappresenta l’evoluzione di una minaccia già nota come AwesomePuppet, anch’essa basata su Gh0st RAT e collegata al gruppo di cybercriminali Winnti (APT41). La persistenza di questa famiglia di malware, il cui codice sorgente è pubblico dal 2008, dimostra come base di codice “legacy” vengano continuamente riadattate per colpire nuovi target.

Pericolosità e strumenti dei cybercriminali

Non meno importante, il builder di GodRAT, scoperto online, permette di generare facilmente eseguibili o DLL dannosi, consentendo agli attaccanti di scegliere tra vari file legittimi in cui iniettare il codice e diversi formati di file per il payload finale (.exe, .com, .bat, .scr, .pif). Questo conferma la pericolosità di GodRAT e l’urgenza di rafforzare le difese, soprattutto nel settore finanziario.