新型GodRAT木马利用隐写术和Gh0st RAT代码攻击金融交易机构
内容提要
卡巴斯基研究员Saurabh Sharma指出,金融公司成为新型木马GodRAT的攻击目标,攻击者通过Skype传播伪装文件。该木马利用隐写术隐藏恶意代码,窃取敏感信息。GodRAT源自Gh0st RAT,攻击者在VirusTotal上传源代码,显示旧代码仍然具有威胁。
关键要点
-
金融公司成为新型木马GodRAT的攻击目标,攻击者通过Skype传播伪装文件。
-
GodRAT利用隐写术隐藏恶意代码,窃取敏感信息。
-
该木马源自Gh0st RAT,采用插件化架构以增强功能。
-
屏幕保护程序文件实质上是自解压可执行文件,包含多个嵌入式文件。
-
恶意软件下载的FileManager插件DLL具备文件系统枚举和文件操作等功能。
-
攻击者于2024年7月将GodRAT源代码上传至VirusTotal,构建器可生成多种文件类型。
-
Gh0st RAT等旧版植入代码仍被广泛使用,具有长期生命力。
-
GodRAT与活跃的中国黑客组织Winnti(APT41)可能存在关联。
延伸解读
金融行业的安全隐患
随着GodRAT木马的出现,金融交易机构面临新的安全威胁。攻击者通过伪装文件进行传播,尤其是利用Skype等即时通讯工具,增加了检测难度。金融公司需加强员工的安全意识培训,防范此类社交工程攻击。
隐写术的应用与风险
GodRAT利用隐写术将恶意代码隐藏在图像文件中,这种技术使得恶意软件更难被发现。企业在网络安全防护中,应关注文件内容的完整性和来源,定期进行安全审计,以识别潜在的隐蔽威胁。
旧代码的持续威胁
尽管Gh0st RAT等旧版木马已有多年历史,但其源代码仍被广泛利用并不断演变。网络安全防护措施需关注这些传统代码的变种,及时更新防病毒软件,以应对新型攻击。
延伸问答
GodRAT木马是如何传播的?
GodRAT木马通过Skype传播伪装成财务文档的恶意.SCR文件。
GodRAT木马的主要功能是什么?
GodRAT木马利用隐写术隐藏恶意代码,窃取敏感信息并投递其他恶意载荷。
GodRAT木马与Gh0st RAT有什么关系?
GodRAT是基于2008年泄露的Gh0st RAT源代码开发的,采用插件化架构以增强功能。
GodRAT木马的攻击目标主要是哪些地区?
GodRAT木马主要针对中国香港、阿联酋、黎巴嫩、马来西亚和约旦等地区的金融交易和经纪公司。
GodRAT木马的插件功能有哪些?
GodRAT的FileManager插件具备文件系统枚举、文件操作、文件夹打开及指定位置文件搜索等功能。
为什么Gh0st RAT仍然构成威胁?
Gh0st RAT等旧版植入代码经过定制重建,仍被广泛使用,具有长期生命力。