GodRAT: El nuevo troyano de acceso remoto que se propaga mediante falsos documentos financieros en Skype

1. Introducción

En el complejo y dinámico panorama de las amenazas actuales, el descubrimiento de nuevas variantes de troyanos de acceso remoto (RAT) sigue suponiendo un reto crucial para los equipos de ciberseguridad de todo el mundo. Recientemente, el Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha identificado la aparición de GodRAT, una amenaza sofisticada orientada a comprometer entidades financieras, especialmente pequeñas y medianas empresas (PYMEs) en Emiratos Árabes Unidos y Hong Kong. La particularidad de esta campaña reside en su vector de ataque, aprovechando archivos de protector de pantalla (scr) maliciosos distribuidos a través de Skype, y camuflados como documentos financieros legítimos.

2. Contexto del Incidente

El hallazgo de GodRAT se produce en un contexto donde el uso de plataformas de mensajería corporativa, como Skype, sigue siendo habitual en entornos empresariales, a pesar del auge de alternativas más recientes como Teams o Slack. El aprovechamiento de canales de comunicación legítimos para la entrega de malware no es nuevo, pero la campaña dirigida detectada por Kaspersky destaca por su enfoque selectivo hacia PYMEs del sector financiero, tradicionalmente menos protegidas que grandes bancos o aseguradoras. Esta campaña se alinea con tendencias observadas en 2024, donde los atacantes priorizan técnicas de spear phishing y la explotación de la confianza inherente en flujos de trabajo colaborativos.

3. Detalles Técnicos

GodRAT ha sido catalogado como una familia de troyanos de acceso remoto que emplea técnicas de ingeniería social para inducir a los usuarios a ejecutar archivos .scr que simulan ser documentos financieros (por ejemplo, facturas o extractos bancarios). Estos archivos son distribuidos principalmente vía Skype, aprovechando la inercia de usuarios que confían en remitentes conocidos o en la legitimidad de la plataforma.

Hasta la fecha, no se ha asignado un identificador CVE específico a esta campaña, ya que no explota una vulnerabilidad de software concreta sino que se basa en la ejecución manual del adjunto malicioso. Sin embargo, el análisis forense ha revelado que GodRAT utiliza técnicas de persistencia mediante la creación de claves en el registro de Windows (HKCUSoftwareMicrosoftWindowsCurrentVersionRun) y el uso de binarios living-off-the-land (LOLbins), dificultando su detección por soluciones antimalware tradicionales.

Dentro del framework MITRE ATT&CK, GodRAT emplea las siguientes TTP documentadas:

– Spear Phishing Attachment (T1566.001)
– User Execution: Malicious File (T1204.002)
– Persistence via Registry Run Keys (T1547.001)
– Command and Control over Application Layer Protocol (T1071.001, HTTP/HTTPS)
– Data Staged: Local Data Staging (T1074.001)

Indicadores de compromiso (IoC) identificados por GReAT incluyen hashes SHA256 de los ejecutables maliciosos, direcciones IP de servidores C2 ubicadas en jurisdicciones offshore y patrones de tráfico anómalo HTTPS cifrado saliente desde endpoints infectados.

4. Impacto y Riesgos

Las consecuencias de una infección por GodRAT pueden ser devastadoras para las empresas afectadas. El troyano permite a los actores de amenazas controlar remotamente el sistema comprometido, exfiltrar información confidencial (credenciales bancarias, documentos financieros, registros de pagos), instalar payloads adicionales (incluyendo ransomware o stealers) y, potencialmente, pivotar a otras máquinas de la red corporativa.

El análisis preliminar de Kaspersky apunta a una tasa de éxito preocupante: cerca del 12% de las PYMEs objetivo en EAU y Hong Kong mostraron indicios de infección en las primeras semanas de la campaña. Las pérdidas económicas asociadas a incidentes de malware financiero en la región ascendieron a más de 3 millones de dólares en el último trimestre, según datos de la consultora IDC.

5. Medidas de Mitigación y Recomendaciones

Los especialistas recomiendan una aproximación multicapa para mitigar el riesgo de GodRAT:

– Bloqueo de archivos ejecutables .scr en pasarelas de correo electrónico y soluciones de mensajería corporativa.
– Reforzamiento de políticas de seguridad que desincentiven la ejecución de archivos adjuntos no verificados.
– Implementación de EDR/XDR con capacidades de análisis de comportamiento y detección de LOLbins.
– Monitorización de cambios sospechosos en el registro de Windows y tráfico saliente anómalo.
– Actualización de listas de IoC y despliegue de reglas YARA específicas para GodRAT.
– Formación continua de empleados en ciberhigiene y concienciación sobre spear phishing.

6. Opinión de Expertos

Álvaro García, analista principal en ciberinteligencia, comenta: “La sofisticación de campañas como la de GodRAT evidencia la necesidad de abandonar modelos de defensa reactivos y adoptar estrategias proactivas, con énfasis en threat hunting y simulacros de phishing dirigidos. Las PYMEs deben entender que su valor como objetivo ha crecido exponencialmente en la economía digital.”

7. Implicaciones para Empresas y Usuarios

La campaña GodRAT subraya los riesgos inherentes a la confianza en plataformas de mensajería tradicionales y la urgencia de revisar procesos internos de validación de documentos. Bajo el paraguas normativo del GDPR y la inminente entrada en vigor de NIS2, las organizaciones financieras que no refuercen sus controles podrían enfrentarse a sanciones significativas por exposición de datos o interrupción de servicios críticos.

8. Conclusiones

GodRAT ejemplifica la evolución de los troyanos de acceso remoto y la capacidad de los atacantes para explotar tanto la ingeniería social como los canales tecnológicos legítimos. La respuesta eficaz requiere la colaboración entre áreas de IT, cumplimiento normativo y concienciación del usuario final, así como la inversión en soluciones avanzadas de detección, respuesta y threat intelligence.

(Fuente: www.cybersecuritynews.es)