WogRAT prende di mira sia Windows che Linux

Un software dannoso scoperto di recente, denominato "WogRAT", prende di mira sia i sistemi Windows che Linux. Utilizza la piattaforma di blocco note online chiamata "aNotepad" come canale nascosto per archiviare ed estrarre codice dannoso.

Secondo i ricercatori dell'AhnLab Security Intelligence Center (ASEC), che hanno chiamato la stringa del malware "WingOfGod", è attiva almeno dalla fine del 2022, con particolare attenzione a paesi come Giappone, Singapore, Cina, Hong Kong, e altre nazioni asiatiche.

I metodi di distribuzione sono attualmente sconosciuti, ma i nomi dei file eseguibili estratti assomigliano a quelli dei software più diffusi (ad esempio, flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Ciò suggerisce che il malware probabilmente si diffonde attraverso software dannoso o schemi simili.

È interessante notare che in questo contesto si abusa di aNotepad, una piattaforma di blocco note online gratuita, per ospitare un programma binario .NET con codifica base64 della versione Windows del malware, mascherato da strumento Adobe.

Poiché aNotepad è un servizio online legittimo, non viene rilevato dagli strumenti di sicurezza, contribuendo a una catena di infezione più discreta.

Quando il malware viene inizialmente eseguito sul computer della vittima, è meno probabile che venga segnalato dagli strumenti antivirus poiché non presenta alcuna funzione dannosa.

Tuttavia, il software dannoso contiene il codice sorgente crittografato per un downloader di malware, che viene compilato ed eseguito in movimento.

Questo downloader recupera un altro programma binario .NET dannoso memorizzato in formato codificato base64 nel Blocco note, provocando il caricamento di una DLL che funge da backdoor per WogRAT.

Comandi di base di WogRAT

WogRAT invia un profilo di base del sistema infetto al server di comando e controllo (C2) e riceve comandi per l'esecuzione. Sono supportate cinque funzioni:

Esecuzione del comando
Download di file da un URL specificato
Carica un file specificato su C2
Attendi un tempo specificato (in secondi)
Terminare

Il malware è disponibile anche nella variante Linux

La versione Linux di WogRAT, offerta in formato ELF, condivide molte somiglianze con la variante Windows. Tuttavia, differisce poiché utilizza Tiny Shell per le operazioni di instradamento e crittografia aggiuntiva nella comunicazione con C2.

Tiny Shell è una backdoor open source che facilita lo scambio di dati e l'esecuzione di comandi su sistemi Linux per varie minacce, tra cui LightBasin, OldGremlin, UNC4540 e gli operatori non identificati del rootkit Linux "Syslogk".

Un'altra differenza notevole è che i comandi nella variante Linux non vengono inviati tramite richieste POST ma vengono emessi tramite una shell inversa creata su un indirizzo IP e una porta specifici.