新型GodRAT木马利用隐写术和Gh0st RAT代码攻击金融交易机构

💡 原文中文,约1300字,阅读约需3分钟。
📝

内容提要

卡巴斯基研究员Saurabh Sharma指出,金融公司成为新型木马GodRAT的攻击目标,攻击者通过Skype传播伪装文件。该木马利用隐写术隐藏恶意代码,窃取敏感信息。GodRAT源自Gh0st RAT,攻击者在VirusTotal上传源代码,显示旧代码仍然具有威胁。

🎯

关键要点

  • 金融公司成为新型木马GodRAT的攻击目标,攻击者通过Skype传播伪装文件。

  • GodRAT利用隐写术隐藏恶意代码,窃取敏感信息。

  • 该木马源自Gh0st RAT,采用插件化架构以增强功能。

  • 屏幕保护程序文件实质上是自解压可执行文件,包含多个嵌入式文件。

  • 恶意软件下载的FileManager插件DLL具备文件系统枚举和文件操作等功能。

  • 攻击者于2024年7月将GodRAT源代码上传至VirusTotal,构建器可生成多种文件类型。

  • Gh0st RAT等旧版植入代码仍被广泛使用,具有长期生命力。

  • GodRAT与活跃的中国黑客组织Winnti(APT41)可能存在关联。

🔎

延伸解读

金融行业的安全隐患

随着GodRAT木马的出现,金融交易机构面临新的安全威胁。攻击者通过伪装文件进行传播,尤其是利用Skype等即时通讯工具,增加了检测难度。金融公司需加强员工的安全意识培训,防范此类社交工程攻击。

隐写术的应用与风险

GodRAT利用隐写术将恶意代码隐藏在图像文件中,这种技术使得恶意软件更难被发现。企业在网络安全防护中,应关注文件内容的完整性和来源,定期进行安全审计,以识别潜在的隐蔽威胁。

旧代码的持续威胁

尽管Gh0st RAT等旧版木马已有多年历史,但其源代码仍被广泛利用并不断演变。网络安全防护措施需关注这些传统代码的变种,及时更新防病毒软件,以应对新型攻击。

延伸问答

GodRAT木马是如何传播的?

GodRAT木马通过Skype传播伪装成财务文档的恶意.SCR文件。

GodRAT木马的主要功能是什么?

GodRAT木马利用隐写术隐藏恶意代码,窃取敏感信息并投递其他恶意载荷。

GodRAT木马与Gh0st RAT有什么关系?

GodRAT是基于2008年泄露的Gh0st RAT源代码开发的,采用插件化架构以增强功能。

GodRAT木马的攻击目标主要是哪些地区?

GodRAT木马主要针对中国香港、阿联酋、黎巴嫩、马来西亚和约旦等地区的金融交易和经纪公司。

GodRAT木马的插件功能有哪些?

GodRAT的FileManager插件具备文件系统枚举、文件操作、文件夹打开及指定位置文件搜索等功能。

为什么Gh0st RAT仍然构成威胁?

Gh0st RAT等旧版植入代码经过定制重建,仍被广泛使用,具有长期生命力。

🏷️

标签

➡️

继续阅读