В последние месяцы по киберпространству активно распространяется новое вредоносное ПО под названием WogRAT, нацеленное на пользователей операционных систем Windows и Linux.
Исследователи из AhnLab Security (ASEC) обнаружили, что WogRAT, названный так из-за строки “WingOfGod” (“крыло бога”) во вредоносном коде, активен с конца 2022 года и преимущественно атакует пользователей в Японии, Сингапуре, Китае, Гонконге и в других азиатских странах.
Способы распространения вредоноса пока неизвестны, однако исполняемые файлы часто маскируются под популярные программы, что указывает на возможное использование методов ” data-html=”true” data-original-title=”Малвертайзинг” >малвертайзинга.
Особенностью последней волны распространения WogRAT является использование онлайн-сервиса aNotepad для хранения закодированного в base64 бинарного файла Windows-версии вредоноса. Такой подход позволяет избежать подозрений со стороны инструментов безопасности и упрощает процесс заражения.
После запуска на заражённом устройстве, WogRAT загружает и выполняет дополнительный вредоносный бинарный файл, также закодированный в base64 на aNotepad, что в конечном итоге приводит к активации одноимённого бэкдора.
Бэкдор WogRAT поддерживает выполнение команд, загрузку и отправку файлов, а также может выполнять другие действия по команде от сервера управления.
Версия вредоноса для Linux отличается использованием Tiny Shell для маршрутизации операций и дополнительным шифрованием в коммуникации с сервером управления. Для заражения Linux-систем сервис aNotepad злоумышленниками не используется.
Аналитики ASEC сообщили, что полный список индикаторов компрометации, связанных с WogRAT, доступен в их отчёте.
Результаты исследования подчёркивают необходимость повышенной бдительности при загрузке и установке программного обеспечения из Интернета, а также важность использования надёжных средств кибербезопасности для защиты от подобных угроз.