Специалисты «Лаборатории Касперского» обнаружили новую вредоносную активность, направленную на трейдинговые и брокерские компании в ОАЭ, Гонконге, Иордании и Ливане. Речь идёт о вирусе GodRAT, который распространяется под видом файлов с расширением .scr, оформленных как финансовые документы. Об этом сообщила пресс-служба компании в комментарии «Газете.Ru».
После успешного заражения устройство становится источником данных для злоумышленников: вирус передаёт информацию об операционной системе, учётной записи пользователя и установленном защитном программном обеспечении. Как уточнили в «Лаборатории Касперского», GodRAT также поддерживает систему плагинов. Один из них позволяет троянцу функционировать как стилер, похищая учётные данные из браузеров Chrome и Microsoft Edge.
По словам Леонида Безвершенко, старшего эксперта центра анализа угроз Kaspersky GReAT, вирус GodRAT — это модифицированная версия обнаруженного ранее зловреда AwesomePuppet. Его связывают с группировкой Winnti, известной по другим кибершпионским операциям. Указания на связь — в методах распространения, параметрах командной строки и совпадениях с кодом Gh0st RAT, популярного инструмента удалённого доступа, появившегося ещё в начале 2000-х.
Эксперт отметил, что киберпреступники всё чаще используют уже существующие решения, усиливая их за счёт современных дополнений. Это позволяет адаптировать старые инструменты под новые цели и обеспечивать долгосрочную активность, не теряя эффективности.
На данный момент угроз для российских компаний вирус не несёт. В «Лаборатории Касперского» уточнили, что среди выявленных целей российских организаций нет. Но специалисты не исключают масштабирования активности и появления атак на другие страны, в том числе на Россию.