Un nuevo y sofisticado troyano de acceso remoto llamado Godrat se ha convertido en una amenaza significativa para las instituciones financieras, aprovechando los archivos de ahorro de pantalla engañoso y las técnicas esteganográficas para infiltrarse en redes organizacionales.
Detectado por primera vez en septiembre de 2024, esta campaña de malware ha demostrado una notable persistencia, con los ataques más recientes observados recientemente como el 12 de agosto de 2025, lo que indica un panorama de amenazas continuo y en evolución.
Los actores de amenaza detrás de Godrat han empleado una estrategia de distribución multifacética, principalmente dirigida a las empresas comerciales y de corretaje a través de Skype Messenger.
Godrat.h (fuente – Securelist)
Su enfoque implica disfrazar los archivos de Malicioso .SCR (Saver) y .pif (archivo de información del programa) como documentos financieros legítimos, explotando la confianza inherente a las comunicaciones comerciales.
La sofisticación del malware se extiende más allá de simple disfrazamiento de archivos, incorporando técnicas esteganográficas avanzadas que incrustan los shellcode dentro de archivos de imagen aparentemente inocuos para evadir los mecanismos de detección de seguridad tradicionales.
Analistas de seguridad identificado Godrat como evolución de la rata AwesomePuppet Awesome Puppet anteriormente documentada, ambos comparten la misma Fundación de base de código de rata GH0st Subyacente.
GH0ST.H (Fuente – SecurElist)
Este linaje genético sugiere un refinamiento deliberado de las metodologías de ataque existentes, potencialmente vinculadas a los patrones operativos del grupo Winnti Apt.
La distribución geográfica del malware se ha centrado particularmente en Hong Kong, los Emiratos Árabes Unidos, Jordania, Líbano y Malasia, lo que indica un enfoque dirigido hacia mercados financieros regionales específicos.
La línea de tiempo de ataque revela una escalada calculada, comenzando con detecciones iniciales en Hong Kong y expandiéndose a múltiples territorios del Medio Oriente.
Los actores de amenaza han demostrado flexibilidad operativa al adaptar sus convenciones de nombres de archivos para que coincidan con las preferencias de idiomas regionales y los contextos comerciales, incluidas las variantes de idiomas chinos e indonesios diseñados para combinarse sin problemas con las comunicaciones comerciales locales.
Mecanismo de infección esteganográfica avanzada
La innovación técnica más notable de Godrat radica en su sofisticado sistema de entrega de carga esteganográfica, que representa un avance significativo en las técnicas de distribución de malware.
El malware emplea una arquitectura de cargador de shellcode de dos etapas, con el cargador secundario que extrae un código de shell -code oculto de archivos de imagen integrados que parecen contener datos financieros legítimos.
La implementación esteganográfica implica integrar bytes de shellcode dentro de archivos de imagen como “2024-11-15_23.45.45.jpg”, que muestra visualmente información financiera mientras oculta el código malicioso.
Contenido del ejecutable autoextrante (fuente-SecurElist)
El cargador “sdl2.dll” realiza el proceso de extracción asignando la memoria, copiando los bytes de shellcode ocultos y los hilos de ejecución de desove. Esta técnica omite efectivamente los sistemas de detección basados en la firma tradicionales que dependen del análisis del encabezado de archivos o el escaneo de contenido.
Tras una extracción exitosa, el código de shell inicia una búsqueda del marcador de configuración “Godinfo”, seguido de una decodificación XOR de un solo byte utilizando la clave 0x63.
La configuración decodificada contiene parámetros operativos críticos que incluyen detalles del servidor C2 y cadenas de comando del módulo.
Luego, el malware establece la comunicación con su infraestructura de comando y control al transmitir la cadena de autenticación “getGod”, lo que desencadena la descarga de componentes adicionales de carga útil, incluidos los módulos Godrat DLL repletos de UPX y las capacidades de robo de credenciales del navegador.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
