WogRAT se dirige tanto a Windows como a Linux

Un software malicioso descubierto recientemente, llamado "WogRAT", está dirigido a sistemas Windows y Linux. Utiliza la plataforma de bloc de notas en línea llamada "aNotepad" como canal encubierto para almacenar y extraer códigos maliciosos.

Según los investigadores del Centro de inteligencia de seguridad de AhnLab (ASEC), que denominaron la cadena de malware "WingOfGod", ha estado activa desde al menos finales de 2022, centrándose en países como Japón, Singapur, China, Hong Kong. y otras naciones asiáticas.

Los métodos de distribución se desconocen actualmente, pero los nombres de los archivos ejecutables extraídos se parecen a los de software popular (p. ej., flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Esto sugiere que el malware probablemente se propague a través de software malicioso o esquemas similares.

Cabe señalar que en este contexto se abusa de aNotepad, una plataforma gratuita de bloc de notas en línea, para alojar un programa binario .NET codificado en base64 de la versión de Windows del malware, disfrazado de herramienta de Adobe.

Dado que aNotepad es un servicio en línea legítimo, las herramientas de seguridad no lo detectan, lo que contribuye a una cadena de infección más discreta.

Cuando el malware se ejecuta inicialmente en la máquina de la víctima, es menos probable que las herramientas antivirus lo detecten, ya que no presenta ninguna función maliciosa.

Sin embargo, el software malicioso contiene un código fuente cifrado para un descargador de malware, que se compila y ejecuta en movimiento.

Este programa de descarga recupera otro programa binario .NET malicioso almacenado en formato codificado en base64 en el Bloc de notas, lo que da como resultado la carga de una DLL que sirve como puerta trasera para WogRAT.

Comandos básicos de WogRAT

WogRAT envía un perfil básico del sistema infectado al servidor de comando y control (C2) y recibe comandos para su ejecución. Se admiten cinco funciones:

Ejecución de comando
Descarga de archivos desde una URL especificada
Cargar un archivo específico en C2
Espere un tiempo específico (en segundos)
Terminar

El malware también viene en una variante de Linux

La versión Linux de WogRAT, ofrecida en formato ELF, comparte muchas similitudes con la variante de Windows. Sin embargo, se diferencia por utilizar Tiny Shell para operaciones de enrutamiento y cifrado adicional en su comunicación con C2.

Tiny Shell es una puerta trasera de código abierto que facilita el intercambio de datos y la ejecución de comandos en sistemas Linux para diversas amenazas, incluidas LightBasin, OldGremlin, UNC4540 y los operadores no identificados del rootkit de Linux "Syslogk".

Otra diferencia notable es que los comandos en la variante de Linux no se envían mediante solicitudes POST, sino que se emiten a través de un shell inverso creado en una dirección IP y un puerto específicos.