O novo malware WogRAT abusa de serviço de bloco de notas online para armazenar malware
6 de Março de 2024

Um novo malware apelidado de 'WogRAT' tem como alvo tanto o Windows quanto o Linux em ataques que abusam de uma plataforma de bloco de notas online chamada 'aNotepad' como um canal secreto para armazenar e recuperar código malicioso.

Segundo pesquisadores do AhnLab Security Intelligence Center (ASEC), que batizaram o malware a partir de uma string que lê 'WingOfGod', ele está ativo pelo menos desde o final de 2022, tendo como alvo Japão, Cingapura, China, Hong Kong e outros países da Ásia.

Os métodos de distribuição são desconhecidos, mas os nomes dos executáveis amostrados se assemelham a softwares populares (flashsetup_LL3gJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), então é provável que sejam distribuídos via malvertising ou esquemas similares.

Vale a pena notar o abuso de aNotepad, uma plataforma gratuita de bloco de notas online, para hospedar um binário .NET em base64 da versão Windows do malware, disfarçado como uma ferramenta da Adobe.

Sendo um serviço online legítimo, aNotepad não está na lista negra ou é tratado com suspeita por ferramentas de segurança, o que ajuda a tornar a cadeia de infecção mais discreta.

Quando o malware é executado pela primeira vez na máquina da vítima, é improvável que seja sinalizado por ferramentas de AV, pois não apresenta qualquer funcionalidade maliciosa.

No entanto, o malware contém código fonte criptografado para um downloader de malware que é compilado e executado imediatamente.

Esse downloader recupera um binário .NET malicioso adicional armazenado na forma codificada em base64 no aNotepad, resultando no carregamento de uma DLL, que é a backdoor WogRAT.

WogRAT envia um perfil básico do sistema infectado para o servidor de comando e controle (C2) e recebe comandos para execução.

Existem cinco funções suportadas:

Executar um comando
Baixar arquivo de URL especificado
Enviar arquivo especificado para C2
Aguardar por um tempo específico (em segundos)
Encerrar

A versão Linux do WogRAT, que vem no formato ELF, compartilha muitas semelhanças com a variante do Windows.

Entretanto, distingue-se utilizando Tiny Shell para operações de roteamento e criptografia adicional em sua comunicação com o C2.

TinySHell é um backdoor de código aberto que facilita a troca de dados e execução de comandos em sistemas Linux para vários atores de ameaças, incluindo LightBasin, OldGremlin, UNC4540 e os operadores não identificados do rootkit 'Syslogk' para Linux.

Outra diferença notável é que os comandos na variante Linux não são enviados via solicitações POST, mas são emitidos por meio de um shell reverso criado em um IP e porta dados.

Os analistas da ASEC não conseguiram determinar como esses binários ELF são distribuídos às vítimas, enquanto a variante Linux não abusa de aNotepad para hospedagem e recuperação de código malicioso.

A lista completa dos indicadores de comprometimento (IoCs) relacionados ao WogRAT pode ser encontrada no final do relatório da ASEC.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...