GodRAT là phần mềm độc hại được phân loại là Remote Access Trojan (RAT), vốn có khả năng xâm nhập vào máy tính của nạn nhân và mở đường cho các cuộc tấn công tiếp theo. Vì vậy, nếu đang sử dụng Skype, người dùng được khuyến cáo phải hết sức cẩn thận.
Theo Kaspersky, GodRAT được phát tán thông qua các tệp bảo vệ màn hình độc hại ngụy trang dưới dạng tài liệu tài chính. Đáng chú ý, các tin tặc đã sử dụng Skype để gửi phần mềm độc hại này cho nạn nhân cho đến tháng 3.2025 trước khi chuyển sang các kênh khác.
Người dùng cần cẩn thận khi dùng Skype
ẢNH: CNN
Mối nguy hiểm từ phần mềm độc hại được lan truyền qua Skype
Quá trình tấn công bắt đầu khi tin tặc chia sẻ dữ liệu tài chính giả mạo dưới dạng tệp hình ảnh. Chúng sử dụng kỹ thuật ẩn mã để giấu mã shellcode trong các tệp này. Khi được kích hoạt, mã shellcode sẽ tải xuống GodRAT từ máy chủ của bên thứ ba. Phần mềm độc hại này thu thập thông tin chi tiết về hệ điều hành, tên máy chủ cục bộ, tài khoản người dùng và phần mềm diệt virus đã cài đặt.
GodRAT có khả năng nhận thêm các plugin bổ sung tùy thuộc vào thông tin ban đầu mà nạn nhân đã chia sẻ. Những plugin này có thể bao gồm trình duyệt tệp hoặc trình đánh cắp mật khẩu. Trong một số trường hợp, tin tặc đã sử dụng GodRAT để triển khai AsyncRAT - một phần mềm cấy ghép thứ cấp giúp chúng duy trì quyền truy cập lâu dài vào hệ thống.
Saurabh Sharma, nhà nghiên cứu bảo mật tại Kaspersky GReAT, cho biết: "GodRAT dường như là một phiên bản tiến hóa của AwesomePuppet mà Kaspersky báo cáo vào năm 2023. Phương thức phân phối và các tham số dòng lệnh hiếm gặp cho thấy nó có nguồn gốc chung với các phần mềm độc hại khác".
Kaspersky không công bố số lượng nạn nhân hoặc tỷ lệ thành công của chiến dịch này nhưng nhấn mạnh rằng các doanh nghiệp vừa và nhỏ (SMB) ở UAE, Hồng Kông, Jordan và Lebanon là những mục tiêu chính. Việc phát hiện GodRAT cho thấy những công cụ đã tồn tại từ lâu vẫn có thể gây ra mối đe dọa trong bối cảnh an ninh mạng hiện nay.
//Chèn ads giữa bài (runinit = window.runinit || []).push(function () { //Nếu k chạy ads thì return if (typeof _chkPrLink != 'undefined' && _chkPrLink) return; var mutexAds = '<zone id="l2srqb41"></zone>'; var content = $('[data-role="content"]'); if (content.length > 0) { var childNodes = content[0].childNodes; for (i = 0; i < childNodes.length; i++) { var childNode = childNodes[i]; var isPhotoOrVideo = false; if (childNode.nodeName.toLowerCase() == 'div') { // kiem tra xem co la anh khong? var type = $(childNode).attr('class') + ''; if (type.indexOf('VCSortableInPreviewMode') >= 0) { isPhotoOrVideo = true; } } try { if ((i >= childNodes.length / 2 - 1) && (i < childNodes.length / 2) && !isPhotoOrVideo) { if (i <= childNodes.length - 3) { childNode.after(htmlToElement(mutexAds)); arfAsync.push("l2srqb41"); } break; } } catch (e) { } } } }); function htmlToElement(html) { var template = document.createElement('template'); template.innerHTML = html; return template.content.firstChild; } if (pageSettings.allow3rd && (typeof _isAdsHidden === 'undefined' || !_isAdsHidden)) { (function(w, q) { w[q] = w[q] || []; w[q].push(["_mgc.load"]) })(window, "_mgq"); }
