GodRAT-Trojaner
Cyberkriminelle nehmen erneut Finanzinstitute ins Visier. Handels- und Maklerfirmen stehen im Fokus einer Kampagne, die einen bislang unbekannten Remote Access Trojaner (RAT) namens GodRAT verbreitet. Der Angriff erfolgt über schädliche SCR-Dateien, die als Finanzdokumente getarnt sind und über den Skype Messenger geteilt werden.
Inhaltsverzeichnis
Versteckte Nutzlasten durch Steganographie
Jüngste Untersuchungen zeigen, dass die Angreifer Steganografie verwenden, um Shellcode in Bilddateien zu verbergen. Diese versteckten Anweisungen lösen den Download von GodRAT von einem Command-and-Control-Server (C2) aus. Hinweise deuten darauf hin, dass die Kampagne seit dem 9. September 2024 läuft, wobei erst am 12. August 2025 Aktivitäten registriert wurden. Betroffen sind unter anderem Hongkong, die Vereinigten Arabischen Emirate, der Libanon, Malaysia und Jordanien.
Von Gh0st RAT zu GodRAT
GodRAT gilt als moderne Weiterentwicklung von Gh0st RAT, einem Trojaner, dessen Quellcode 2008 geleakt wurde und der seitdem von chinesischen Bedrohungsgruppen weithin eingesetzt wird. Es wurden auch Ähnlichkeiten mit AwesomePuppet festgestellt, einem weiteren Derivat von Gh0st RAT, das 2023 aufgedeckt wurde und der produktiven Gruppe Winnti (APT41) zugeschrieben wird.
Die Malware ist mit einer Plugin-basierten Struktur ausgestattet, die es ihr ermöglicht, vertrauliche Informationen zu sammeln und zusätzliche Nutzlasten wie AsyncRAT bereitzustellen.
Infektionskette und technische Panne
Der Angriff beginnt mit SCR-Dateien, die als selbstextrahierende ausführbare Dateien fungieren. Diese Dateien enthalten mehrere eingebettete Komponenten, darunter eine schädliche DLL, die über eine legitime ausführbare Datei geladen wird. Diese DLL ruft Shellcode ab, der in einem JPG-Bild versteckt ist und letztendlich die Bereitstellung von GodRAT ermöglicht.
Sobald der Trojaner aktiv ist, verbindet er sich über TCP mit seinem C2-Server und sammelt Systemdaten und Details zu installierten Antiviren-Tools. Nach der Übermittlung dieser Informationen gibt der C2-Server Befehle aus. Diese Anweisungen ermöglichen der Malware:
- Einfügen einer empfangenen Plugin-DLL in den Speicher.
- Beenden Sie den Prozess nach dem Schließen des Sockets.
- Laden Sie Dateien herunter und führen Sie sie mithilfe der CreateProcessA-API aus.
- Öffnen Sie bestimmte URLs über Internet Explorer-Befehle
Erweiterung der Funktionen mit Plugins
Ein bemerkenswertes Plugin, FileManager DLL, gewährt Angreifern umfassende Kontrolle über das System des Opfers. Es ermöglicht die Suche, Manipulation und Ordnersuche und dient gleichzeitig als Verbreitungstool für sekundäre Malware. Zu den bestätigten Schadprogrammen gehören:
- Ein Passwortdiebstahlprogramm, das auf die Browser Chrome und Edge abzielt
- Der AsyncRAT-Trojaner zur weiteren Ausnutzung
GodRAT Builder und Payload-Optionen
Forscher haben den GodRAT-Builder und den vollständigen Client-Quellcode entdeckt und so dessen Anpassungsfähigkeit aufgezeigt. Der Builder ermöglicht es Angreifern, entweder ausführbare Dateien oder DLLs zu generieren. Wählt der Angreifer den Weg über ausführbare Dateien, können Benutzer legitime Binärdateien für die Code-Injektion auswählen, darunter svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe und QQScLauncher.exe.
Die resultierenden Nutzdaten können in verschiedenen Formaten gespeichert werden, darunter .exe, .com, .bat, .scr und .pif.
Veralteter Code, moderne Bedrohung
Die Entdeckung von GodRAT verdeutlicht, dass veraltete Implants wie Gh0st RAT – die vor fast zwei Jahrzehnten erstmals eingeführt wurden – auch heute noch große Risiken bergen. Durch ständige Anpassung und Umnutzung können Angreifer diese Tools weiterhin relevant halten und so ihr langfristiges Überleben in der Cybersicherheitslandschaft sichern. GodRAT erinnert daran, dass selbst alte Malware-Codebasen in den Händen erfahrener Angreifer mächtige Waffen bleiben.
