Um novo malware RAT foi descoberto recentemente. Denominado WogRAT, a ameaça digital tem como alvo usuários de Windows, Linux e de uma plataforma online chamada aNotePad.
De acordo com o estudo divulgado no blog do AhnLab Security Intelligence Center (ASEC), os pesquisadores presumem que o WogRAT tem sido usado continuamente em ataques desde o final de 2022 até os dias atuais.
“Embora não tenham sido encontrados ataques contra Linux, presume-se que, no caso de malware direcionado a sistemas Windows, os ataques sejam conduzidos disfarçando-se de ferramentas utilitárias legítimas com base em nomes de arquivos coletados, levando os usuários a baixar malware”, explica o estudo.
Desta forma, cepas de malware disfarçaram seus nomes como ferramentas utilitárias legítimas. Os exemplos usados no estudo são: flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, e ToolKit .exe.
Ainda de acordo com os pesquisadores, o malware tem como principais alvos países asiáticos, como China e Japão.
Como funciona o WogRAT
Como já mencionado, o malware se disfarça de programas conhecidos para fazer a instalação de conteúdo malicioso.
“Quando o malware é executado, ele primeiro compila o código-fonte e o carrega. A DLL carregada é responsável por baixar as strings da plataforma aNotepad, descriptografá-las usando o algoritmo Base64 e, em seguida, carregá-las. Ao acessar a URL do aNotepad, você pode encontrar o binário .NET criptografado em Base64 salvo no bloco de notas como uma string”, explica o relatório.
Créditos: Estudo ASEC
Quando carregada, a DLL instala o malware backdoor chamado WingsOfGod (Wog). “Quando o WogRAT é executado pela primeira vez, ele coleta informações básicas do sistema infectado e as envia ao servidor C&C. O malware então oferece suporte a comandos como envio de resultados, download de arquivos e upload desses arquivos”, afirmam os pesquisadores.
WogRAT envia dados na seguinte estrutura por meio de solicitações POST com base na conexão inicial, download de comando e resultados de execução de comando. “Por exemplo, os seguintes dados são enviados quando o usuário acessa o Bloco de Notas pela primeira vez”, explica o estudo.
No sistema Linux a lógica também se repete. Para aqueles que confiam que Linux não possui malwares, é importante ter em mente que as ameaças nos dias atuais estão cada vez mais sofisticadas e a busca por lucro move os hackers da darknet.
A AhnLab descobriu um malware WogRAT direcionado ao sistema Linux enquanto observava cepas de malware usando o mesmo servidor C&C. “A versão Linux do WogRAT é semelhante à versão Windows e usa a rotina do malware de código aberto Tiny SHell, assim como o backdoor Rekoobe”, explica o texto.
“Quando o WogRAT é executado, ele muda seu nome como um processo legítimo, como outras variedades de malware, para evitar a detecção. As cepas de malware WogRAT encontradas até agora mudaram todos os seus nomes para “[kblockd]”. Posteriormente, ele coleta e envia informações básicas do sistema infectado, assim como a versão do Windows”, concluem os pesquisadores.
Não deixe a sua empresa ser um alvo fácil para ataques cibernéticos. Proteja-se com as soluções de cibersegurança, infraestrutura e conectividade da VNX Partners. Fale com um de nossos especialistas aqui.
Continue lendo o nosso blog!
Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.
Vulnerabilidades digitais: tendências para ficar de olho
Começam a ser divulgados importantes relatórios sobre ameaças cibernéticas que mais impactaram o mercado até
Malwares para Linux: entenda a crescente onda de ameaças
O Linux é um dos sistemas operacionais mais utilizados no mundo. Por se tratar de
Linux: conheça a ferramenta de varredura antimalware gratuita
O Linux é um sistema operacional amplamente conhecido e utilizado, tendo como principal característica a
Backup: conheça os principais tipos e por que é importante
Ter um bom sistema de backup na sua organização é a garantia de preservação de
Conheça as soluções avançadas em cibersegurança da Fortinet
À medida que a tecnologia continua a evoluir e os ataques cibernéticos se tornam cada
VPN gratuitas: apps transformam celulares Android em proxies
Com o aumento das preocupações com a privacidade e segurança online, os serviços de Rede