Um novo malware apelidado de 'WogRAT' tem como alvo tanto o Windows quanto o Linux em ataques que abusam de uma plataforma de bloco de notas online chamada 'aNotepad' como um canal secreto para armazenar e recuperar código malicioso.
Segundo pesquisadores do AhnLab Security Intelligence Center (ASEC), que batizaram o malware a partir de uma string que lê 'WingOfGod', ele está ativo pelo menos desde o final de 2022, tendo como alvo Japão, Cingapura, China, Hong Kong e outros países da Ásia.
Os métodos de distribuição são desconhecidos, mas os nomes dos executáveis amostrados se assemelham a softwares populares (flashsetup_LL3gJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), então é provável que sejam distribuídos via malvertising ou esquemas similares.
Vale a pena notar o abuso de aNotepad, uma plataforma gratuita de bloco de notas online, para hospedar um binário .NET em base64 da versão Windows do malware, disfarçado como uma ferramenta da Adobe.
Sendo um serviço online legítimo, aNotepad não está na lista negra ou é tratado com suspeita por ferramentas de segurança, o que ajuda a tornar a cadeia de infecção mais discreta.
Quando o malware é executado pela primeira vez na máquina da vítima, é improvável que seja sinalizado por ferramentas de AV, pois não apresenta qualquer funcionalidade maliciosa.
No entanto, o malware contém código fonte criptografado para um downloader de malware que é compilado e executado imediatamente.
Esse downloader recupera um binário .NET malicioso adicional armazenado na forma codificada em base64 no aNotepad, resultando no carregamento de uma DLL, que é a backdoor WogRAT.
WogRAT envia um perfil básico do sistema infectado para o servidor de comando e controle (C2) e recebe comandos para execução.
Existem cinco funções suportadas:
Executar um comando
Baixar arquivo de URL especificado
Enviar arquivo especificado para C2
Aguardar por um tempo específico (em segundos)
Encerrar
A versão Linux do WogRAT, que vem no formato ELF, compartilha muitas semelhanças com a variante do Windows.
Entretanto, distingue-se utilizando Tiny Shell para operações de roteamento e criptografia adicional em sua comunicação com o C2.
TinySHell é um backdoor de código aberto que facilita a troca de dados e execução de comandos em sistemas Linux para vários atores de ameaças, incluindo LightBasin, OldGremlin, UNC4540 e os operadores não identificados do rootkit 'Syslogk' para Linux.
Outra diferença notável é que os comandos na variante Linux não são enviados via solicitações POST, mas são emitidos por meio de um shell reverso criado em um IP e porta dados.
Os analistas da ASEC não conseguiram determinar como esses binários ELF são distribuídos às vítimas, enquanto a variante Linux não abusa de aNotepad para hospedagem e recuperação de código malicioso.
A lista completa dos indicadores de comprometimento (IoCs) relacionados ao WogRAT pode ser encontrada no final do relatório da ASEC.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...