Un nou malware numit ‘WogRAT’ vizează atât Windows, cât și Linux în atacuri care abuzează o platformă online de notițe numită ‘aNotepad’ ca un canal clandestin pentru stocarea și recuperarea codului malitios.
Potrivit cercetătorilor de la Centrul de Securitate și Informații AhnLab (ASEC), care au denumit malware-ul de la un șir care citează ‘WingOfGod’, acesta este activ încă din târziul anului 2022, vizând Japonia, Singapore, China, Hong Kong și alte țări asiatice.
Metodele de distribuție sunt necunoscute, dar numele executabilelor eșantionate seamănă cu software-uri populare (flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), așadar este probabil să fie distribuite prin malvertizing sau scheme similare.
De menționat este abuzul platformei aNotepad, un serviciu gratuit de notițe online, pentru a găzdui un fișier .NET binar encodat în base64 pentru versiunea de Windows a malware-ului, disimulat ca un instrument Adobe.
Făcând parte dintr-un serviciu online legitim, aNotepad nu este în lista neagră sau tratat cu suspiciune de către instrumentele de securitate, ceea ce ajută la făcerea lanțului de infecție mai discret.
Când malware-ul este executat pentru prima dată pe mașina victimului, este puțin probabil să fie detectat de către instrumentele antivirus deoarece nu prezintă funcționalități malitioase.
Cu toate acestea, malware-ul conține cod sursă criptat pentru un downloader de malware, care este compilat și executat din mers.
Acest downloader recuperează un alt fișier .NET malitios stocat în formă encodată în base64 pe aNotepad, rezultând încărcarea unui DLL, care este backdoor-ul WogRAT.
WogRAT trimite un profil de bază al sistemului infectat către serverul de comandă și control (C2) și primește comenzi pentru execuție.
Sunt cinci funcții suportate:
Versiunea pentru Linux a lui WogRAT, care vine sub formă de ELF, prezintă multe similitudini cu varianta pentru Windows. Cu toate acestea, se deosebește prin utilizarea Tiny Shell pentru operațiuni de rutare și criptare suplimentară în comunicarea sa cu C2.
TinyShell este un backdoor open-source care facilitează schimbul de date și execuția de comenzi pe sistemele Linux pentru mai mulți actori de amenințare, inclusiv LightBasin, OldGremlin, UNC4540 și operatorii neidentificați ai rootkit-ului Linux ‘Syslogk’.
O altă diferență notabilă este că comenzile în varianta pentru Linux nu sunt trimise prin cereri POST, ci sunt emise printr-un shell invers creat pe o anumită adresă IP și port.
Analiștii de la ASEC nu au reușit să determine modul în care aceste fișiere ELF sunt distribuite victimelor, în timp ce varianta pentru Linux nu abuzează aNotepad pentru găzduirea și recuperarea codului malitios.
Lista completă a indicatorilor de compromitere (IoCs) legați de WogRAT poate fi găsită la sfârșitul raportului ASEC.
Hackerii trimit încărcări de malware USB prin intermediul site-urilor de știri și de găzduire media
Deficiențele ScreenConnect sunt exploatate pentru a descărca noul malware ToddlerShark
Malware-ul GTPDOOR Linux furtiv vizează rețelele de operatori mobili
CISA avertizează cu privire la bug-ul Microsoft Streaming exploatat în atacuri de malware
Noul malware Bifrost pentru Linux imită domeniul VMware pentru evaziune
Leave a Reply