Cheval de Troie GodRAT
Les cybercriminels ciblent à nouveau les institutions financières. Les sociétés de courtage et de trading sont dans le collimateur d'une campagne diffusant un cheval de Troie d'accès à distance (RAT) jusqu'alors inconnu, appelé GodRAT. L'attaque se propage via des fichiers .SCR malveillants déguisés en documents financiers, partagés via Skype Messenger.
Table des matières
Charges utiles cachées grâce à la stéganographie
Des enquêtes récentes montrent que les attaquants utilisent la stéganographie pour dissimuler du shellcode dans des fichiers image. Ces instructions cachées déclenchent le téléchargement de GodRAT depuis un serveur de commande et de contrôle (C2). Les éléments suggèrent que la campagne est en cours depuis le 9 septembre 2024, avec une activité enregistrée le 12 août 2025. Les régions touchées incluent Hong Kong, les Émirats arabes unis, le Liban, la Malaisie et la Jordanie.
De Gh0st RAT à GodRAT
GodRAT est considéré comme une évolution moderne de Gh0st RAT, un cheval de Troie dont le code source a fuité en 2008 et qui a depuis été largement adopté par les groupes malveillants chinois. Des similitudes ont également été constatées avec AwesomePuppet, un autre dérivé de Gh0st RAT, exposé en 2023 et attribué au groupe prolifique Winnti (APT41).
Le malware est conçu avec une structure basée sur des plugins, lui permettant de collecter des informations sensibles et de déployer des charges utiles supplémentaires telles qu'AsyncRAT.
Chaîne d’infection et panne technique
L'attaque commence par des fichiers .SCR faisant office d'exécutables auto-extractibles. Ces fichiers contiennent plusieurs composants intégrés, dont une DLL malveillante téléchargée latéralement via un exécutable légitime. Cette DLL récupère le shellcode caché dans une image .JPG, ce qui permet le déploiement de GodRAT.
Une fois actif, le cheval de Troie se connecte à son serveur C2 via TCP, collectant ainsi les données système et les détails des antivirus installés. Après avoir transmis ces informations, le serveur C2 émet des commandes. Ces instructions permettent au malware de :
- Injectez une DLL de plugin reçue dans la mémoire.
- Terminer son processus après la fermeture du socket.
- Téléchargez et exécutez des fichiers à l’aide de l’API CreateProcessA.
- Ouvrir des URL spécifiques via les commandes d'Internet Explorer
Extension des capacités avec des plugins
Un plugin notable, FileManager DLL, confère aux attaquants un contrôle étendu sur le système de la victime. Il permet la recherche, la manipulation et la navigation dans les fichiers, tout en servant d'outil de diffusion pour les logiciels malveillants secondaires. Les charges utiles confirmées incluent :
- Un voleur de mots de passe ciblant les navigateurs Chrome et Edge
- Le cheval de Troie AsyncRAT pour une exploitation ultérieure
Options de GodRAT Builder et Payload
Les chercheurs ont découvert le générateur GodRAT et le code source complet du client, révélant ainsi son adaptabilité. Le générateur permet aux attaquants de générer des exécutables ou des DLL. En choisissant l'exécutable, les utilisateurs peuvent sélectionner des binaires légitimes pour l'injection de code, notamment svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe et QQScLauncher.exe.
Les charges utiles résultantes peuvent être enregistrées dans différents formats, notamment .exe, .com, .bat, .scr et .pif.
Code hérité, menace moderne
La découverte de GodRAT illustre à quel point les implants hérités comme Gh0st RAT, introduits il y a près de vingt ans, présentent encore aujourd'hui des risques majeurs. L'adaptation et la réutilisation constantes permettent aux attaquants de préserver la pertinence de ces outils et d'assurer leur pérennité dans le paysage de la cybersécurité. GodRAT rappelle que même les anciennes bases de code de malwares restent des armes redoutables lorsqu'elles sont entre les mains d'adversaires expérimentés.
