Um novo malware RAT foi descoberto recentemente. Denominado WogRAT, a ameaça digital tem como alvo usuários de Windows, Linux e de uma plataforma online chamada aNotePad.
De acordo com o estudo divulgado no blog do AhnLab Security Intelligence Center (ASEC), os pesquisadores presumem que o WogRAT tem sido usado continuamente em ataques desde o final de 2022 até os dias atuais.
“Embora não tenham sido encontrados ataques contra Linux, presume-se que, no caso de malware direcionado a sistemas Windows, os ataques sejam conduzidos disfarçando-se de ferramentas utilitárias legítimas com base em nomes de arquivos coletados, levando os usuários a baixar malware”, explica o estudo.
Desta forma, cepas de malware disfarçaram seus nomes como ferramentas utilitárias legítimas. Os exemplos usados no estudo são: flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, e ToolKit .exe.
Ainda de acordo com os pesquisadores, o malware tem como principais alvos países asiáticos, como China e Japão.
Como funciona o WogRAT
Como já mencionado, o malware se disfarça de programas conhecidos para fazer a instalação de conteúdo malicioso.
“Quando o malware é executado, ele primeiro compila o código-fonte e o carrega. A DLL carregada é responsável por baixar as strings da plataforma aNotepad, descriptografá-las usando o algoritmo Base64 e, em seguida, carregá-las. Ao acessar a URL do aNotepad, você pode encontrar o binário .NET criptografado em Base64 salvo no bloco de notas como uma string”, explica o relatório.
Créditos: Estudo ASEC
Quando carregada, a DLL instala o malware backdoor chamado WingsOfGod (Wog). “Quando o WogRAT é executado pela primeira vez, ele coleta informações básicas do sistema infectado e as envia ao servidor C&C. O malware então oferece suporte a comandos como envio de resultados, download de arquivos e upload desses arquivos”, afirmam os pesquisadores.
WogRAT envia dados na seguinte estrutura por meio de solicitações POST com base na conexão inicial, download de comando e resultados de execução de comando. “Por exemplo, os seguintes dados são enviados quando o usuário acessa o Bloco de Notas pela primeira vez”, explica o estudo.
No sistema Linux a lógica também se repete. Para aqueles que confiam que Linux não possui malwares, é importante ter em mente que as ameaças nos dias atuais estão cada vez mais sofisticadas e a busca por lucro move os hackers da darknet.
A AhnLab descobriu um malware WogRAT direcionado ao sistema Linux enquanto observava cepas de malware usando o mesmo servidor C&C. “A versão Linux do WogRAT é semelhante à versão Windows e usa a rotina do malware de código aberto Tiny SHell, assim como o backdoor Rekoobe”, explica o texto.
“Quando o WogRAT é executado, ele muda seu nome como um processo legítimo, como outras variedades de malware, para evitar a detecção. As cepas de malware WogRAT encontradas até agora mudaram todos os seus nomes para “[kblockd]”. Posteriormente, ele coleta e envia informações básicas do sistema infectado, assim como a versão do Windows”, concluem os pesquisadores.
Não deixe a sua empresa ser um alvo fácil para ataques cibernéticos. Proteja-se com as soluções de cibersegurança, infraestrutura e conectividade da VNX Partners. Fale com um de nossos especialistas aqui.
Continue lendo o nosso blog!
Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.
Notificações push: apps utilizam recurso para coletar dados no iOS indevidamente
As notificações push podem ser usadas para coletar dados no iOS? De acordo com um
4 ameaças digitais que você precisa estar atento em 2024
Todos os dias passamos por situações que nos colocam na mira de possíveis ameaças digitais.
Trends das redes sociais: os perigos de compartilhar seus dados
Todos os meses pelo menos um novo formato viral toma conta do seu feed, principalmente
Sequestro de dados: epidemia digital com consequências prolongadas
Desde 2020, os ataques hackers que sequestram dados de empresas se tornaram uma verdadeira epidemia.
Ransomware: 45% das empresas de saúde já foram vítimas de ataque
Em um novo estudo global divulgado pela empresa Arcserve, foi revelado um percentual alarmante de
PNCiber: Política de cibersegurança é criada pelo Governo Federal
No dia 27 de dezembro de 2023 foi aprovada pelo Governo Federal a Política Nacional