Троян GodRAT маскируется под файлы в Skype, атакует бизнес

Екатерина Быстрова 20 Августа 2025 - 12:03

...

Троян GodRAT маскируется под файлы в Skype, атакует бизнес

Эксперты Kaspersky GReAT сообщили о новом трояне под названием GodRAT. Злоумышленники распространяют его через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. До весны 2025 года такие «документы» рассылали в Skype, а потом переключились на другие каналы.

Основными жертвами стали компании малого и среднего бизнеса, в первую очередь трейдинговые и брокерские фирмы в ОАЭ, Гонконге, Иордании и Ливане.

Что умеет GodRAT? После заражения троян собирает данные о системе: ОС, имя хоста, учётку пользователя, запущенные процессы и даже установленное защитное ПО.

Исследователи также выяснили, что он поддерживает плагины. В зафиксированных атаках использовались, например, FileManager для анализа заражённых машин и стилеры для кражи паролей в Chrome и Edge. Параллельно атакующие запускали ещё один зловред — AsyncRAT, чтобы дольше оставаться в системе.

Интересно, что вместе с самим вредоносом распространялся архив GodRAT V3.5_______dll.rar, внутри которого был билдер — инструмент для быстрой сборки GodRAT.

С его помощью злоумышленники могут выбрать, в какой «легитимный» файл вшить зловред. Дополнительно они применяли стеганографию: прятали шелл-код прямо в картинке, изображающей якобы финансовые данные.

По словам Леонида Безвершенко, старшего эксперта Kaspersky GReAT, GodRAT — это по сути «эволюция» обнаруженного в 2023 году зловреда AwesomePuppet, который связывают с кибергруппой Winnti. На это указывают и схожие методы распространения, и параметры командной строки, и сходство кода с легендарным Gh0st RAT, существующим уже десятилетиями.

«Злоумышленники часто кастомизируют и переделывают старые импланты, чтобы охватить как можно больше жертв. Обнаруженный троянец подтверждает, что даже инструменты с многолетней историей могут быть частью современного ландшафта киберугроз», — подчёркивает эксперт.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 12:01

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

Американские разработчики ИИ-моделей выявляют и банят россиян

Разработчики моделей искусственного интеллекта (ИИ) Claude, ChatGPT и Gemini активно выявляют пользователей из неподдерживаемых регионов, включая Россию, и блокируют им доступ. При этом чем крупнее проект, тем выше риск столкнуться с ограничениями.

Недавно стало известно о масштабной блокировке российских пользователей компанией Anthropic, которой принадлежит ИИ-модель Claude. По данным СМИ, она затронула сотни людей и компаний. При этом удалялись все данные и аналитика, хотя деньги за подписки возвращались.

Как отметил директор по экспериментальным продуктам MWS AI, входящей в МТС Web Services, Сергей Пономаренко в беседе с РИА Новости, зарубежные разработчики продолжат применять такую практику в отношении россиян. По его оценке, под наиболее серьёзной угрозой находятся крупные проекты, по которым есть признаки корпоративного использования. Это связано с соблюдением санкционных ограничений, введённых властями США ещё в 2024 году.

«Американские компании-разработчики ИИ Anthropic, OpenAI и Google активно применяют инструменты выявления пользователей из неподдерживаемого региона и будут дальше совершенствовать их, поэтому россиян ждут новые волны блокировок в Claude, ChatGPT и Gemini», — предупредил Сергей Пономаренко.

По его словам, ограничения вводятся постепенно. Российские IP-адреса долгое время могли помечаться в базах, которыми пользуются зарубежные компании, как европейские, однако со временем такие данные уточняются. В результате сетевые адреса начинают определяться как российские, после чего к ним применяются ограничения.

Использование прокси и VPN зарубежные компании также могут отслеживать. «Подозрение могут вызвать постоянные входы из разных стран за короткое время, использование известных VPN или прокси, слишком большое количество запросов, массовое создание аккаунтов, а также попытки обойти блокировки или фильтры безопасности», — пояснил эксперт.

Часто сомнительные учётные записи сначала отправляют на проверку и не блокируют полностью. Доступ к ним могут восстановить после обращения в техническую поддержку. Однако при удалении аккаунта уничтожаются все данные. При этом сами диалоги владельцы ИИ-моделей могут сохранять, что создаёт дополнительные риски утечки информации.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!