Una vez instalado, los atacantes emplean herramientas diseñadas para robar contraseñas almacenadas en los navegadores Chrome y Microsoft Edge.
Investigadores de Kaspersky descubrieron un nuevo troyano de acceso remoto (RAT) distribuido mediante archivos de protector de pantalla maliciosos, presentados como documentos financieros y enviados a través de Skype hasta marzo de 2025, momento en el que comenzó a utilizar otros canales, siendo las PyMEs de distintos países, el sector más afectado por este ciberataque.
El actor de amenaza desplegó un nuevo troyano de acceso remoto (RAT), denominado GodRAT, que fue detectado en el código fuente de un cliente tras ser subido a un escáner en línea ampliamente utilizado en julio de 2024. Pequeñas y Medianas Empresas de Emiratos Árabes Unidos, Hong Kong, Jordania y Líbano estuvieron entre los objetivos de esta campaña.
Para evitar ser detectados, los atacantes escondieron el malware dentro de archivos de imagen que parecían mostrar datos financieros. Una vez abierto, este malware se conecta a un servidor remoto para descargar GodRAT. Luego, recopila información básica del equipo afectado, como el sistema operativo, el nombre del ordenador, los programas instalados, la cuenta de usuario y si hay algún software de seguridad activo.
GodRAT es compatible con plugins adicionales y, una vez instalado, los atacantes utilizan el plugin FileManager para explorar los sistemas de la víctima y emplean herramientas diseñadas para robar contraseñas almacenadas en los navegadores Chrome y Microsoft Edge. Además de GodRAT, también utilizan AsyncRAT como implante secundario para mantener un acceso prolongado.
«GodRAT parece ser una evolución de AwesomePuppet, reportado por Kaspersky en 2023 y probablemente vinculado al APT Winnti. Sus métodos de distribución, parámetros distintivos en la línea de comandos, similitudes de código con Gh0st RAT y artefactos compartidos — como una firma digital distintiva — sugieren un origen común. A pesar de tener casi dos décadas de antigüedad, las bases de código de implantes heredados como Gh0st RAT siguen siendo utilizadas activamente por actores de amenaza, quienes frecuentemente las personalizan y reconstruyen para atacar a una amplia variedad de víctimas. El descubrimiento de GodRAT demuestra cómo estas herramientas conocidas desde hace mucho tiempo pueden seguir siendo relevantes en el panorama actual de la ciberseguridad», comenta Lisandro Ubiedo, analista Senior de Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Para mantenerse protegido contra este, y otros actores de amenazas, los expertos de Kaspersky recomiendan:
- Actualizar regularmente el sistema operativo, el navegador, el antivirus y otros programas. Los delincuentes suelen aprovechar vulnerabilidades en el software para comprometer los sistemas.
- Activar la opción “Mostrar extensiones de archivo” en la configuración de Windows. Esto facilita la identificación de archivos potencialmente maliciosos. Como los troyanos son programas, se debe tener especial cuidado con extensiones como “.exe”, “.vbs” y “.scr”. Es importante mantenerse alerta, ya que muchos tipos de archivos aparentemente inofensivos también pueden ser peligrosos. Los estafadores pueden utilizar varias extensiones para hacer pasar un archivo malicioso por un video, una foto o un documento (por ejemplo: hot-chics.avi.exe o scr).
- Para proteger a la empresa contra este tipo de amenazas, utilice las soluciones de la línea de productos Kaspersky Next, que ofrecen protección en tiempo real, visibilidad de amenazas, así como capacidades de investigación y respuesta de EDR y XDR para organizaciones de cualquier tamaño y sector.
Encuentre más información de este actor de amenazas en Securelist.com
Para más información de ciberseguridad, visite nuestro blog
