Este é o Trojan que afeta pequenas e médias empresas: ele se esconde dentro de supostos arquivos financeiros.
Pesquisadores da Kaspersky identificaram um novo Trojan de acesso remoto (RAT) que se tornou uma ameaça significativa para pequenas e médias empresas (PMEs) em diversos países. O malware, denominado GodRAT , foi detectado em meados de 2024 e foi distribuído principalmente por meio de arquivos maliciosos de proteção de tela, apresentados como documentos financeiros e enviados via Skype até março de 2025, quando seus operadores começaram a usar outros canais para expandir a campanha.
De acordo com a análise dos especialistas, PMEs nos Emirados Árabes Unidos, Hong Kong, Jordânia e Líbano estavam entre os principais alvos. O método de distribuição envolvia ocultar o malware em arquivos de imagem que pareciam exibir dados financeiros. Assim que a vítima os abria, o sistema se conectava a um servidor remoto para baixar o GodRAT e iniciar o processo de coleta de informações.
O malware foi enviado via Skype. Foto: iStock/Skype/Teams
O GodRAT foi projetado para obter dados básicos do dispositivo comprometido, como sistema operacional, nome do computador, conta de usuário, software instalado e a presença de programas de segurança ativos . Ele também suporta plugins adicionais, expandindo suas capacidades.
Um dos complementos mais utilizados por invasores é o FileManager, que permite explorar arquivos e diretórios no sistema infectado. Somado a isso, há o uso de ferramentas especializadas para extrair senhas salvas em navegadores como Google Chrome e Microsoft Edge, o que aumenta o risco de vazamento de dados confidenciais.
Para garantir a persistência em sistemas comprometidos, os operadores da campanha também contam com o AsyncRAT, um implante secundário que atua como backup caso o GodRAT seja removido ou detectado.
Um herdeiro de velhas ameaças De acordo com Lisandro Ubiedo, analista sênior de segurança da equipe global de pesquisa e análise da Kaspersky para a América Latina, o GodRAT pode ser uma evolução do AwesomePuppet, outro RAT relatado em 2023 e vinculado ao grupo de ameaças persistentes avançadas (APT) conhecido como Winnti.
Aplicativos maliciosos estão se tornando cada vez mais difíceis de identificar. Foto: iStock
"Seus métodos de distribuição, opções de linha de comando distintas, similaridades de código com o Gh0st RAT e artefatos compartilhados — como uma assinatura digital distinta — sugerem uma origem comum. Apesar de terem quase duas décadas, as bases de código de implantes legados como o Gh0st RAT continuam sendo usadas ativamente por agentes de ameaças, que frequentemente as personalizam e reconstroem para atingir uma ampla variedade de vítimas", explicou Ubiedo.
Essa descoberta demonstra como ferramentas conhecidas há quase duas décadas ainda representam um risco real para organizações de todos os tamanhos, especialmente porque os invasores atualizam suas funcionalidades e aprimoram suas técnicas de furtividade.
Recomendações de segurança Diante dessa situação, os especialistas da Kaspersky compartilharam uma série de medidas para reduzir o risco de infecção e proteger tanto usuários individuais quanto empresas:
- Atualize regularmente seu sistema operacional , navegador, antivírus e outros softwares. Muitas campanhas maliciosas exploram vulnerabilidades em versões desatualizadas de software.
- Ative a opção "Mostrar extensões de arquivo" no Windows, o que facilita a identificação de arquivos suspeitos. Os trojans costumam se esconder atrás de extensões como ".exe", ".vbs" e ".scr". Em alguns casos, os invasores combinam várias extensões para disfarçar um arquivo perigoso (por exemplo, document.pdf.scr).
Para se protegerem de malware, as empresas devem utilizar soluções de segurança avançadas. Foto: iStock
- Tenha cuidado com anexos recebidos por e-mail ou aplicativos de mensagens, especialmente se eles forem apresentados como documentos financeiros ou imagens que precisam ser abertas em programas externos.
- Para organizações, use soluções de segurança avançadas.
As PMEs são frequentemente um dos setores mais afetados por esse tipo de ataque, pois, em muitos casos, carecem de áreas de segurança cibernética robustas ou de políticas de atualização rigorosas. Essa situação as torna um alvo atraente para cibercriminosos, que buscam acessar informações confidenciais ou manter o controle remoto de seus sistemas para atividades criminosas subsequentes.
A descoberta do GodRAT demonstra que as ameaças digitais continuam a evoluir e que, mesmo baseadas em códigos antigos, podem ser atualizadas para permanecerem eficazes. Nesse contexto, a conscientização sobre riscos e o investimento em proteção tecnológica tornam-se essenciais para evitar o sucesso de campanhas como essa.
eltiempo
