Наскоро Microsoft прекрати поддръжката на Skype, но много потребители продължават да използват приложението за комуникации в работата си. Експерти по киберсигурност обаче предупреждават за сериозен риск – Skype е среда за разпространение на зловреден софтуер.
Киберпрестъпници са се възползвали от безпризорния месинджър Skype, за да доставят зловреден софтуер с троянски коне за отдалечен достъп (RAT), като така компрометират компютрите на жертвите и отварят врати за опустошителни атаки на следващ етап.
Изследователи по киберсигурност в Kaspersky наскоро разкриха невиждан досега вариант на зловреден софтуер, наречен GodRAT, който се разпространява чрез злонамерени файлове на скрийнсейвъри, маскирани като финансови документи.
Злонамерените лица са доставяли зловреден софтуер на жертвите си чрез Skype до март 2025 г., преди да преминат към други канали.
Първо, хакерите са споделяли фалшиви финансови данни във файл с изображение. Използвайки стеганография, те са скривали шелкод във файловете – когато се активира, този код изтегля зловреден софтуер GodRAT от сървър на трета страна.
RAT събира данни за операционната система, локално име на хост, име на зловреден процес и идентификатор на процес, потребителския акаунт, свързан с процеса на зловреден софтуер, инсталиран антивирусен софтуер и наличие на драйвер за заснемане.
След това GodRAT може да получава допълнителни плъгини, в зависимост от първоначалната информация, споделена с нападателите. Тези плъгини могат да бъдат файлови мениджъри или крадци на пароли.
В някои случаи престъпниците са използвали GodRAT, за да внедрят AsyncRAT – вторичен „имплант”, който им предоставя продължителен, ако не и постоянен, достъп.
„GodRAT изглежда е еволюция на AwesomePuppet, за който Kaspersky съобщи през 2023 г. и вероятно е свързан с Winnti APT. Неговите методи на разпространение, редки параметри на командния ред, прилики в кода с Gh0st RAT и споделени артефакти – като например отличителен заглавен пръстов отпечатък – предполагат общ произход”, каза Саураб Шарма, изследовател по сигурността в Kaspersky GReAT.
„Откритието на GodRAT демонстрира как подобни отдавна познати инструменти могат да останат актуални в днешния пейзаж на киберсигурността”, допълни той.
Kaspersky не разкрива броя на жертвите или потенциалния процент на успех на кампанията, но подчертава, че жертвите са предимно малки и средни предприятия в ОАЕ, Хонконг, Йордания и Ливан.
