新型GodRAT木马利用隐写术和Gh0st RAT代码攻击金融交易机构
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
卡巴斯基研究员Saurabh Sharma指出,金融公司成为新型木马GodRAT的攻击目标,攻击者通过Skype传播伪装文件。该木马利用隐写术隐藏恶意代码,窃取敏感信息。GodRAT源自Gh0st RAT,攻击者在VirusTotal上传源代码,显示旧代码仍然具有威胁。
🎯
关键要点
- 金融公司成为新型木马GodRAT的攻击目标,攻击者通过Skype传播伪装文件。
- GodRAT利用隐写术隐藏恶意代码,窃取敏感信息。
- 该木马源自Gh0st RAT,采用插件化架构以增强功能。
- 屏幕保护程序文件实质上是自解压可执行文件,包含多个嵌入式文件。
- 恶意软件下载的FileManager插件DLL具备文件系统枚举和文件操作等功能。
- 攻击者于2024年7月将GodRAT源代码上传至VirusTotal,构建器可生成多种文件类型。
- Gh0st RAT等旧版植入代码仍被广泛使用,具有长期生命力。
- GodRAT与活跃的中国黑客组织Winnti(APT41)可能存在关联。
❓
延伸问答
GodRAT木马是如何传播的?
GodRAT木马通过Skype传播伪装成财务文档的恶意.SCR文件。
GodRAT木马的主要功能是什么?
GodRAT木马利用隐写术隐藏恶意代码,窃取敏感信息并投递其他恶意载荷。
GodRAT木马与Gh0st RAT有什么关系?
GodRAT是基于2008年泄露的Gh0st RAT源代码开发的,采用插件化架构以增强功能。
GodRAT木马的攻击目标主要是哪些地区?
GodRAT木马主要针对中国香港、阿联酋、黎巴嫩、马来西亚和约旦等地区的金融交易和经纪公司。
GodRAT木马的插件功能有哪些?
GodRAT的FileManager插件具备文件系统枚举、文件操作、文件夹打开及指定位置文件搜索等功能。
为什么Gh0st RAT仍然构成威胁?
Gh0st RAT等旧版植入代码经过定制重建,仍被广泛使用,具有长期生命力。
➡️
