Pesquisadores identificaram uma nova campanha cibernética que tem como alvo instituições financeiras, incluindo corretoras e empresas de trading. O ataque utiliza um trojan de acesso remoto inédito, batizado de GodRAT, projetado para roubar informações sensíveis e instalar cargas adicionais nos sistemas comprometidos.
A distribuição do malware ocorre por meio de arquivos .SCR (screen saver) disfarçados de documentos financeiros legítimos, enviados pelo mensageiro Skype. A técnica empregada para ocultar o código malicioso é a esteganografia, que esconde instruções nocivas dentro de imagens em formato JPG. Essa abordagem dificulta a detecção por soluções tradicionais de segurança. O GodRAT tem raízes no Gh0st RAT, um código de backdoor cujo código-fonte foi vazado em 2008 e amplamente aproveitado por grupos de hackers chineses. Ele segue um modelo modular, com plugins que expandem sua capacidade de espionagem, coleta de dados e até instalação de outros malwares, como o AsyncRAT. Entre os recursos identificados, o GodRAT é capaz de coletar informações detalhadas do sistema infectado, mapear softwares de segurança instalados e estabelecer comunicação direta com um servidor de comando e controle (C2).
A partir daí, pode baixar arquivos, executar comandos, abrir páginas da web e injetar novas DLLs maliciosas na memória da vítima. Um dos plugins mais usados pelo trojan é o FileManager, que permite explorar pastas, manipular arquivos e buscar informações específicas nos dispositivos. Além disso, já foi observado entregando ferramentas adicionais, incluindo ladrões de senhas para navegadores como Google Chrome e Microsoft Edge. Segundo os pesquisadores, a campanha não é recente: amostras do GodRAT circulam desde setembro de 2024, tendo como alvo países como Hong Kong, Emirados Árabes Unidos, Líbano, Malásia e Jordânia. As atividades, no entanto, continuam em andamento, com registros de ataques até agosto de 2025. O surgimento desse trojan mostra como códigos antigos continuam sendo reutilizados e aprimorados. Assim como seu predecessor Gh0st RAT, o GodRAT foi desenvolvido a partir de implantes antigos, adaptados para novas técnicas de ataque e ambientes modernos. Essa longevidade representa uma ameaça persistente para empresas que lidam com dados financeiros.
