WogRAT tem como alvo Windows e Linux

Um software malicioso recentemente descoberto, denominado “WogRAT”, tem como alvo os sistemas Windows e Linux. Ele utiliza a plataforma de bloco de notas online chamada “aNotepad” como canal secreto para armazenar e extrair código malicioso.

De acordo com pesquisadores do AhnLab Security Intelligence Center (ASEC), que chamaram a sequência de malware de “WingOfGod”, ela está ativa pelo menos desde o final de 2022, com foco em países como Japão, Cingapura, China, Hong Kong, e outras nações asiáticas.

Os métodos de distribuição são atualmente desconhecidos, mas os nomes dos arquivos executáveis extraídos são semelhantes aos de softwares populares (por exemplo, flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Isto sugere que o malware provavelmente se espalha através de software malicioso ou esquemas semelhantes.

Vale ressaltar que o aNotepad, uma plataforma de bloco de notas online gratuita, é abusada neste contexto para hospedar um programa binário .NET codificado em base64 da versão Windows do malware, disfarçado como uma ferramenta da Adobe.

Como o aNotepad é um serviço online legítimo, ele passa despercebido pelas ferramentas de segurança, contribuindo para uma cadeia de infecção mais discreta.

Quando o malware é executado inicialmente na máquina da vítima, é menos provável que seja sinalizado por ferramentas antivírus, pois não apresenta nenhuma função maliciosa.

No entanto, o software malicioso contém código-fonte criptografado para um downloader de malware, que é compilado e executado em movimento.

Este downloader recupera outro programa binário .NET malicioso armazenado em formato codificado em base64 no Bloco de Notas, resultando no carregamento de uma DLL que serve como backdoor para WogRAT.

Comandos básicos do WogRAT

WogRAT envia um perfil básico do sistema infectado para o servidor de comando e controle (C2) e recebe comandos para execução. Cinco funções são suportadas:

Execução de comando
Download de arquivo de um URL especificado
Carregar um arquivo especificado para C2
Aguarde um tempo especificado (em segundos)
Encerrar

O malware também vem na variante Linux

A versão Linux do WogRAT, oferecida no formato ELF, compartilha muitas semelhanças com a variante Windows. Porém, difere por utilizar Tiny Shell para operações de roteamento e criptografia adicional em sua comunicação com C2.

Tiny Shell é um backdoor de código aberto que facilita a troca de dados e a execução de comandos em sistemas Linux para várias ameaças, incluindo LightBasin, OldGremlin, UNC4540 e os operadores não identificados do rootkit Linux “Syslogk”.

Outra diferença notável é que os comandos na variante Linux não são enviados por meio de solicitações POST, mas emitidos por meio de um shell reverso criado em um endereço IP e porta específicos.