CibersegurançaNotícias

GodRAT: Novo Trojan usa imagens para atacar empresas

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Trojan Anatsa Android

Descubra como o novo malware GodRAT usa técnicas de esteganografia para atacar o setor financeiro.

Nos últimos meses, pesquisadores da Kaspersky identificaram uma nova ameaça digital voltada para empresas do setor financeiro: o Trojan GodRAT. Esse malware se destaca por combinar técnicas tradicionais de RAT (Remote Access Trojan) com estratégias modernas de ocultação, incluindo a esteganografia, permitindo que seu código malicioso passe despercebido dentro de arquivos aparentemente inofensivos. A descoberta desse malware evidencia como cibercriminosos estão continuamente refinando seus métodos para atingir alvos de alto valor.

Conteúdo

O GodRAT se espalha principalmente por meio de aplicativos de mensagens corporativas, como o Skype, enviando arquivos que parecem legítimos, mas que escondem códigos maliciosos. A atenção especial para essa ameaça se justifica não apenas pelo potencial de danos financeiros, mas também pela sua ligação direta com um dos RATs mais notórios da história, o Gh0st RAT. Entender o funcionamento do GodRAT é essencial para profissionais de TI, administradores de sistemas e qualquer empresa que queira reforçar sua postura de segurança cibernética.

Este artigo destrincha o Trojan GodRAT, explicando como ele opera, quais são seus alvos, as técnicas utilizadas para se ocultar, sua conexão com o Gh0st RAT e o grupo Winnti (APT41), além de oferecer insights sobre como malwares antigos continuam sendo adaptados para ameaças modernas.

Trojan Anatsa Android

O que é o GodRAT e quem são seus alvos?

O GodRAT é um Trojan de Acesso Remoto (RAT), projetado para se infiltrar em sistemas corporativos e fornecer controle remoto ao atacante. Uma vez instalado, ele permite que criminosos coletem informações sensíveis, monitorem atividades e até executem outros malwares de forma silenciosa.

Os alvos principais desse malware são instituições financeiras, incluindo corretoras e bancos, onde o acesso a informações confidenciais e transações pode gerar ganhos significativos para os atacantes. Relatórios indicam que ataques recentes já ocorreram em Hong Kong, Emirados Árabes Unidos, Cingapura e outros centros financeiros estratégicos, mostrando que o malware tem alcance internacional e foco em alvos de alto valor.

A anatomia do ataque: da engenharia social à execução

O disfarce: arquivos de protetor de tela (.SCR) no Skype

Os ataques do GodRAT começam com uma abordagem clássica de engenharia social. Os criminosos enviam arquivos que parecem documentos financeiros legítimos, planilhas ou apresentações, mas que na verdade são executáveis mascarados com a extensão .SCR, típica de protetores de tela no Windows. Ao abrir o arquivo, o malware se instala silenciosamente no sistema, permitindo que o atacante assuma o controle remoto.

Essa técnica é eficaz porque explora a confiança do usuário em arquivos aparentemente inofensivos e aplicativos de comunicação corporativa, criando um vetor de ataque difícil de detectar por filtros tradicionais.

A técnica da esteganografia: escondendo a ameaça em plena luz

Um dos diferenciais do GodRAT é o uso de esteganografia, técnica que consiste em ocultar informações dentro de arquivos aparentemente comuns, como imagens .JPG. No caso do GodRAT, o código malicioso (shellcode) é inserido dentro da imagem, tornando sua detecção por antivírus muito mais complicada.

A esteganografia permite que o malware seja transportado de forma discreta, passando despercebido por inspeções automáticas e humanas, aumentando a chance de sucesso na infiltração e evitando que a ameaça seja rapidamente neutralizada.

A conexão com o Gh0st RAT: um legado perigoso

O Gh0st RAT ganhou notoriedade após seu código-fonte vazar em 2008, tornando-se uma ferramenta amplamente utilizada por diversos grupos de ciberameaças. Entre eles, destaca-se o Winnti (APT41), conhecido por campanhas contra setores críticos e financeiros.

O GodRAT é uma evolução desse legado, reaproveitando a base de código do Gh0st RAT e combinando-a com técnicas modernas de infiltração, como a esteganografia. Isso demonstra como ferramentas antigas, quando adaptadas, podem se tornar ameaças sofisticadas e eficazes, aproveitando a estabilidade e confiabilidade do código já testado em ataques reais.

As capacidades do GodRAT: mais do que apenas um espião

O GodRAT adota uma arquitetura modular baseada em plugins, permitindo que atacantes expandam suas capacidades conforme necessário. Entre as ações possíveis após a instalação e conexão com o servidor C2 (Command and Control), destacam-se:

  • Coleta de informações detalhadas do sistema e do usuário;
  • Injeção de plugins adicionais para funcionalidades específicas;
  • Download e execução de outros malwares, incluindo AsyncRAT e ladrões de senhas para navegadores;
  • Monitoramento de atividades e captura de dados sensíveis em tempo real.

Essa flexibilidade torna o GodRAT um malware multifuncional, capaz de se adaptar rapidamente a diferentes ambientes corporativos e superar barreiras de defesa tradicionais.

Por que a reutilização de códigos antigos ainda é eficaz?

O aproveitamento de códigos maliciosos já testados, como o do Gh0st RAT, continua sendo uma estratégia eficiente para cibercriminosos. Entre os principais motivos estão:

  • Economia de tempo e recursos: Desenvolver um malware do zero exige mais esforço; reutilizar códigos testados acelera a criação de novas ameaças.
  • Confiabilidade comprovada: Código antigo já foi testado em múltiplos ataques, garantindo funcionalidade e estabilidade.
  • Adaptação a novas técnicas: Combinar código legado com métodos modernos, como esteganografia e side-loading, potencializa a eficácia do ataque.

A Kaspersky destaca que essa prática mantém ferramentas antigas relevantes e perigosas, reforçando a importância de estratégias de defesa que considerem tanto ameaças novas quanto adaptações de malwares conhecidos.

Conclusão: a ameaça invisível e a defesa necessária

O Trojan GodRAT exemplifica a sofisticação crescente das ameaças digitais. Ele combina engenharia social, esteganografia e reciclagem de códigos comprovados, oferecendo um alerta claro sobre como ataques dirigidos a empresas podem evoluir rapidamente.

Empresas e profissionais de segurança devem revisar políticas internas, especialmente no que diz respeito ao recebimento de arquivos por aplicativos de mensagens, e investir em soluções que detectem comportamentos anômalos. Além disso, a conscientização dos colaboradores sobre os riscos de abrir arquivos suspeitos continua sendo uma das defesas mais eficazes contra ameaças como o GodRAT.

Compreender a operação do Trojan GodRAT é essencial para mitigar riscos e reforçar a resiliência das empresas diante de ataques cada vez mais inteligentes e invisíveis.

TAGGED:
Compartilhe este artigo
Artigo anterior Check Point alerta sobre o ‘EchoLink’: uma vulnerabilidade ‘zero-clique’ que expõe os novos riscos da IA no Microsoft 365 Copilot
Próximo artigo Honor atrai 46% de usuários da Samsung com inovação no Magic V5 Honor atrai 46% de usuários da Samsung com inovação no Magic V5
Android

Honor atrai 46% de usuários da Samsung com inovação no Magic V5

Honor atrai 46% de usuários da Samsung com inovação no Magic V5

Smartphones dobráveis estão em alta! Honor atrai 46% de usuários da Samsung com o novo Magic V5.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto