Дослідники безпеки Kaspersky виявили, що хакери використовували Skype для розповсюдження трояна віддаленого доступу, відомого як GodRAT. Спочатку поширювалося через шкідливі файли заставок екрана, замасковані під фінансові документи, але шкідливе програмне забезпечення використовувало стеганографію для приховування шелл-коду всередині файлів зображень, які потім завантажували GodRAT з віддаленого сервера.
Після активації GodRAT збирав детальну системну інформацію, включаючи характеристики ОС, наявність антивіруса, дані облікових записів користувачів тощо. Троян також міг завантажувати додаткові плагіни, такі як файлові провідники та програми для крадіжки паролів. У деяких випадках він розгортав друге шкідливе програмне забезпечення, AsyncRAT, надаючи зловмисникам тривалий доступ.
GodRAT, схоже, є еволюцією попередніх інструментів, таких як AwesomePuppet, і має спільні артефакти з Gh0st RAT, що натякає на зв’язок з групою Winnti APT. Хоча Kaspersky не розкрив кількість жертв, кампанія була спрямована переважно на малий та середній бізнес в ОАЕ, Гонконзі, Йорданії та Лівані. Повідомляється, що кіберзлочинність з використанням Skype як вектора припинилася приблизно в березні 2025 року, оскільки злочинці перейшли на інші канали розповсюдження.
Методи заволодіння інформацією
Спочатку хакери поширювали фальшиві фінансові дані у файлі зображення. Використовуючи стеганографію, вони ховали у файлах шелл-код, який при активації завантажував шкідливе програмне забезпечення GodRAT зі стороннього сервера.
RAT збирає відомості про операційну систему, ім’я локального хоста, ім’я та ідентифікатор процесу шкідливого програмного забезпечення, обліковий запис користувача, пов’язаний із процесом шкідливого програмного забезпечення, встановлене антивірусне програмне забезпечення та наявність драйвера захоплення.
Після цього GodRAT може отримувати додаткові плагіни, залежно від початкової інформації, переданої зловмисникам. Ці плагіни можуть бути файловими провідниками або викрадачами паролів.
У деяких випадках зловмисники використовували GodRAT для розгортання AsyncRAT, вторинного імплантату, який надавав їм тривалий, якщо не постійний, доступ.
