Um novo malware apelidado de 'WogRAT' tem como alvo tanto o Windows quanto o Linux em ataques que abusam de uma plataforma de bloco de notas online chamada 'aNotepad' como um canal secreto para armazenar e recuperar código malicioso.
Segundo pesquisadores do AhnLab Security Intelligence Center (ASEC), que batizaram o malware a partir de uma string que lê 'WingOfGod', ele está ativo pelo menos desde o final de 2022, tendo como alvo Japão, Cingapura, China, Hong Kong e outros países da Ásia.
Os métodos de distribuição são desconhecidos, mas os nomes dos executáveis amostrados se assemelham a softwares populares (flashsetup_LL3gJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), então é provável que sejam distribuídos via malvertising ou esquemas similares.
Vale a pena notar o abuso de aNotepad, uma plataforma gratuita de bloco de notas online, para hospedar um binário .NET em base64 da versão Windows do malware, disfarçado como uma ferramenta da Adobe.
Sendo um serviço online legítimo, aNotepad não está na lista negra ou é tratado com suspeita por ferramentas de segurança, o que ajuda a tornar a cadeia de infecção mais discreta.
Quando o malware é executado pela primeira vez na máquina da vítima, é improvável que seja sinalizado por ferramentas de AV, pois não apresenta qualquer funcionalidade maliciosa.
No entanto, o malware contém código fonte criptografado para um downloader de malware que é compilado e executado imediatamente.
Esse downloader recupera um binário .NET malicioso adicional armazenado na forma codificada em base64 no aNotepad, resultando no carregamento de uma DLL, que é a backdoor WogRAT.
WogRAT envia um perfil básico do sistema infectado para o servidor de comando e controle (C2) e recebe comandos para execução.
Existem cinco funções suportadas:
Executar um comando
Baixar arquivo de URL especificado
Enviar arquivo especificado para C2
Aguardar por um tempo específico (em segundos)
Encerrar
A versão Linux do WogRAT, que vem no formato ELF, compartilha muitas semelhanças com a variante do Windows.
Entretanto, distingue-se utilizando Tiny Shell para operações de roteamento e criptografia adicional em sua comunicação com o C2.
TinySHell é um backdoor de código aberto que facilita a troca de dados e execução de comandos em sistemas Linux para vários atores de ameaças, incluindo LightBasin, OldGremlin, UNC4540 e os operadores não identificados do rootkit 'Syslogk' para Linux.
Outra diferença notável é que os comandos na variante Linux não são enviados via solicitações POST, mas são emitidos por meio de um shell reverso criado em um IP e porta dados.
Os analistas da ASEC não conseguiram determinar como esses binários ELF são distribuídos às vítimas, enquanto a variante Linux não abusa de aNotepad para hospedagem e recuperação de código malicioso.
A lista completa dos indicadores de comprometimento (IoCs) relacionados ao WogRAT pode ser encontrada no final do relatório da ASEC.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...