Cibercriminosos foram detetados a utilizar o popular serviço de mensagens Skype para distribuir um Trojan de Acesso Remoto (RAT), comprometendo os computadores das vítimas e abrindo caminho para ataques informáticos devastadores.
A descoberta foi feita por investigadores de cibersegurança da Kaspersky, que identificaram uma nova variante de malware, apelidada de GodRAT. Este software malicioso era distribuído através de ficheiros de proteção de ecrã que se faziam passar por documentos financeiros. De forma invulgar, os atacantes utilizaram o Skype como principal meio de disseminação até março de 2025, altura em que mudaram a sua estratégia para outros canais de distribuição.
Um malware que se esconde em imagens
O método de ataque começa com a partilha de falsos dados financeiros num ficheiro de imagem. Através de uma técnica conhecida como esteganografia, os hackers escondem código malicioso (shellcode) dentro dos ficheiros. Uma vez ativado pela vítima, este código descarrega o malware GodRAT a partir de um servidor externo.
Após a infeção, o RAT recolhe uma vasta gama de informações do sistema, incluindo detalhes do sistema operativo, o nome do anfitrião local, o nome e ID do processo do malware, a conta de utilizador associada, o software de antivírus instalado e a presença de um controlador de captura de ecrã.
Capacidades de espionagem e ligação a grupos conhecidos
Com base na informação inicial recolhida, o GodRAT pode receber plugins adicionais para expandir as suas capacidades. Estes módulos extra podem incluir exploradores de ficheiros ou software para roubo de palavras-passe, aumentando significativamente o perigo do ataque.
Em alguns casos, os cibercriminosos usaram o GodRAT para instalar um segundo implante, o AsyncRAT, garantindo assim um acesso prolongado ou até permanente aos sistemas comprometidos, o que representa uma grave falha de segurança.
"O GodRAT parece ser uma evolução do AwesomePuppet, que foi reportado pela Kaspersky em 2023 e está provavelmente ligado ao grupo Winnti APT. Os seus métodos de distribuição, parâmetros de linha de comando raros, semelhanças de código com o Gh0st RAT e artefactos partilhados sugerem uma origem comum", afirmou Saurabh Sharma, Investigador de Segurança da Kaspersky GReAT. "A descoberta do GodRAT demonstra como ferramentas conhecidas podem permanecer relevantes no panorama atual da cibersegurança."
A Kaspersky não detalhou o número de vítimas, mas sublinhou que os alvos eram maioritariamente pequenas e médias empresas nos Emirados Árabes Unidos, Hong Kong, Jordânia e Líbano.
Nenhum comentário
Seja o primeiro!