Троян GodRAT маскируется под файлы в Skype, атакует бизнес

Екатерина Быстрова 20 Августа 2025 - 12:03

...

Троян GodRAT маскируется под файлы в Skype, атакует бизнес

Эксперты Kaspersky GReAT сообщили о новом трояне под названием GodRAT. Злоумышленники распространяют его через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. До весны 2025 года такие «документы» рассылали в Skype, а потом переключились на другие каналы.

Основными жертвами стали компании малого и среднего бизнеса, в первую очередь трейдинговые и брокерские фирмы в ОАЭ, Гонконге, Иордании и Ливане.

Что умеет GodRAT? После заражения троян собирает данные о системе: ОС, имя хоста, учётку пользователя, запущенные процессы и даже установленное защитное ПО.

Исследователи также выяснили, что он поддерживает плагины. В зафиксированных атаках использовались, например, FileManager для анализа заражённых машин и стилеры для кражи паролей в Chrome и Edge. Параллельно атакующие запускали ещё один зловред — AsyncRAT, чтобы дольше оставаться в системе.

Интересно, что вместе с самим вредоносом распространялся архив GodRAT V3.5_______dll.rar, внутри которого был билдер — инструмент для быстрой сборки GodRAT.

С его помощью злоумышленники могут выбрать, в какой «легитимный» файл вшить зловред. Дополнительно они применяли стеганографию: прятали шелл-код прямо в картинке, изображающей якобы финансовые данные.

По словам Леонида Безвершенко, старшего эксперта Kaspersky GReAT, GodRAT — это по сути «эволюция» обнаруженного в 2023 году зловреда AwesomePuppet, который связывают с кибергруппой Winnti. На это указывают и схожие методы распространения, и параметры командной строки, и сходство кода с легендарным Gh0st RAT, существующим уже десятилетиями.

«Злоумышленники часто кастомизируют и переделывают старые импланты, чтобы охватить как можно больше жертв. Обнаруженный троянец подтверждает, что даже инструменты с многолетней историей могут быть частью современного ландшафта киберугроз», — подчёркивает эксперт.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 11 Февраля 2026 - 08:49

Android Шпионские программы Программы слежения Домашние пользователи

Новый Android-шпион ZeroDayRAT следит за экраном и продаётся в Telegram

Специалисты по безопасности мобильных устройств предупреждают о новом шпионском инструменте для Android под названием ZeroDayRAT. Вредоносный набор распространяется через Telegram и позволяет злоумышленникам получить практически полный контроль над заражённым устройством.

По данным исследовательской компании iVerify, ZeroDayRAT представляет собой комплект из вредоносного APK-файла и панели управления.

После установки приложения на смартфон атакующий получает доступ к обширной информации о владельце устройства — от модели телефона и версии ОС до номера телефона и данных сим-карты. Также можно узнать список установленных приложений и просматривать журнал входящих уведомлений.

Но на этом возможности не заканчиваются. Инструмент позволяет отслеживать геолокацию в реальном времени, читать СМС-сообщения (включая коды подтверждения), получать данные о зарегистрированных на устройстве аккаунтах, а также подключаться к камере и микрофону. Кроме того, злоумышленник может видеть экран жертвы в режиме онлайн.

Отдельную опасность представляет встроенный кейлоггер, поскольку с его помощью можно перехватывать вводимые данные, включая банковскую информацию. ZeroDayRAT также умеет подменять содержимое буфера обмена, что может использоваться, например, для перенаправления криптовалютных переводов на кошельки злоумышленников.

По оценке экспертов, подобный уровень функциональности раньше требовал серьёзных ресурсов и был характерен скорее для инструментов уровня государств. Теперь же доступ к нему можно получить через Telegram. Причём даже если каналы распространения будут заблокированы, уже скачанный комплект позволит злоумышленникам продолжать атаки.

ZeroDayRAT нацелен на устройства под управлением Android — от версии 5.0 Lollipop до Android 16. В отчёте также отмечается, что последние версии iOS потенциально тоже могут быть затронуты, хотя основной фокус сейчас — на Android.

Эксперты напоминают: для заражения требуется установка вредоносного APK-файла. Поэтому главный способ защиты остаётся прежним — не устанавливать приложения из непроверенных источников и не переходить по сомнительным ссылкам, особенно если они ведут за пределы официальных магазинов приложений.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »