Instituciones financieras bajo ataque: GodRAT, el nuevo troyano de acceso remoto dirigido a brókeres y traders

Introducción

Durante las últimas semanas, analistas de ciberseguridad han detectado una sofisticada campaña dirigida contra instituciones financieras, especialmente firmas de trading y brókeres, mediante la distribución de un troyano de acceso remoto (RAT) hasta ahora no documentado, denominado GodRAT. Este malware, detectado por primera vez por los laboratorios de Kaspersky, emplea técnicas de ingeniería social y aprovecha canales de comunicación usados habitualmente en el sector financiero, como Skype, para propagar archivos maliciosos disfrazados de documentos legítimos. El incidente pone de manifiesto la constante evolución de las amenazas dirigidas a entornos críticos y la necesidad de reforzar los controles en la cadena de comunicación digital.

Contexto del Incidente

El sector financiero es, históricamente, uno de los objetivos preferentes de los actores de amenazas, dada la naturaleza sensible de sus operaciones y los activos bajo su custodia. Según el Informe de Amenazas Financieras de 2024 de Kaspersky, el 38% de los incidentes de malware en el sector durante el primer semestre han estado vinculados a RATs y troyanos bancarios. La campaña que implica a GodRAT destaca por su orientación específica hacia brókeres y plataformas de trading, aprovechando la confianza en herramientas de comunicación instantánea como Skype, ampliamente utilizada en operaciones bursátiles y de asesoramiento financiero.

Detalles Técnicos

GodRAT se propaga a través de archivos con extensión .SCR (Screen Saver), una técnica clásica que sigue siendo efectiva para evadir controles básicos, pues los sistemas Windows tienden a asociarlos a salvapantallas y no siempre son detectados por soluciones antimalware mal configuradas. Estos archivos se disfrazan de documentos financieros (ejemplo: “InformeSemanal.scr”), incrementando la probabilidad de apertura por parte de empleados del sector.

Hasta el momento, no se ha asignado un CVE específico a GodRAT, dado que se trata de un malware personalizado y no de una vulnerabilidad en software legítimo. El vector inicial es un mensaje directo a través de Skype, en el que el atacante suplanta a un cliente o colega y envía el archivo malicioso.

Una vez ejecutado, GodRAT establece comunicación con su servidor de mando y control (C2) empleando HTTP sobre puertos no estándar, evitando así la detección basada en patrones de tráfico habituales. Entre sus capacidades destacan:

– Ejecución remota de comandos (T1059 – Command and Scripting Interpreter, MITRE ATT&CK)
– Exfiltración de archivos locales (T1041 – Exfiltration Over C2 Channel)
– Captura de pantalla y log de teclas (T1113 – Screen Capture, T1056 – Input Capture)
– Descarga y ejecución de payloads adicionales
– Persistencia mediante modificación del registro (T1547 – Boot or Logon Autostart Execution)

El malware utiliza técnicas de ofuscación en su código y en las comunicaciones, empleando cifrado personalizado para dificultar el análisis forense y la detección por parte de EDRs convencionales. Hasta el momento, no se han detectado exploits públicos o integración directa en frameworks como Metasploit o Cobalt Strike, lo que apunta a un desarrollo ad-hoc para esta campaña.

Impacto y Riesgos

La infección por GodRAT permite a los atacantes un control prácticamente total sobre los sistemas comprometidos. Los riesgos inmediatos incluyen robo de credenciales, acceso a información confidencial (órdenes de trading, carteras de clientes, etc.), manipulación de operaciones y movimientos fraudulentos de fondos. El impacto potencial es elevado: según estimaciones recientes, cada brecha de seguridad en el sector financiero puede suponer pérdidas superiores a 5 millones de euros, además de sanciones regulatorias bajo el RGPD y, próximamente, NIS2.

Medidas de Mitigación y Recomendaciones

– Bloqueo y monitorización de archivos .SCR y otras extensiones ejecutables en entornos de mensajería instantánea.
– Implementación de soluciones EDR con capacidades de análisis de comportamiento y sandboxing.
– Formación continua a empleados sobre riesgos de ingeniería social y verificación de remitentes.
– Segmentación de redes y aplicación del principio de mínimos privilegios.
– Revisión y endurecimiento de políticas de acceso remoto.
– Monitorización de tráfico saliente en busca de canales C2 no habituales y uso de inteligencia de amenazas para detección de IoCs relacionados con GodRAT.

Opinión de Expertos

Saurabh Sharma, investigador principal de Kaspersky, señala: “La campaña GodRAT demuestra cómo los atacantes adaptan sus tácticas a los canales de comunicación más usados por sus víctimas, evadiendo las barreras tradicionales. La rápida distribución a través de Skype y la capacidad de GodRAT para operar de manera sigilosa complican la detección y respuesta temprana”.

Por su parte, expertos en Threat Intelligence de S21sec advierten sobre la tendencia creciente de malware dirigido a sectores verticales mediante técnicas de spear phishing muy personalizadas, lo que exige un enfoque de defensa adaptativo y proactivo.

Implicaciones para Empresas y Usuarios

Las empresas del sector financiero deben revisar urgentemente sus políticas de seguridad en canales de mensajería y reforzar la educación en ciberhigiene de su personal. La falta de protección ante este tipo de ataques puede acarrear, además de pérdidas económicas, sanciones administrativas y un daño reputacional severo. Los usuarios finales, por su parte, deben extremar la precaución ante la recepción de archivos ejecutables, incluso si provienen de contactos conocidos.

Conclusiones

GodRAT es un claro ejemplo de la profesionalización de las campañas de malware dirigidas a sectores críticos. Su aparición subraya la importancia de una defensa en profundidad, la actualización constante de las capacidades de detección y la concienciación de los empleados. Los responsables de seguridad deben anticiparse a estos vectores y adoptar una postura de vigilancia continua para minimizar el impacto de futuras amenazas.

(Fuente: feeds.feedburner.com)