WogRAT malware: Στόχευση Windows και Linux και κατάχρηση aNotepad

Ένα νέο malware με το όνομα “WogRAT” στοχεύει Windows και Linux, κάνοντας κατάχρηση της διαδικτυακής πλατφόρμας σημειώσεων “aNotepad“. Η πλατφόρμα χρησιμοποιείται για την αποθήκευση και την ανάκτηση κακόβουλου κώδικα.

Σύμφωνα με ερευνητές του AhnLab Security Intelligence Center (ASEC), το WogRAT malware (που ονομάστηκε έτσι από τους ίδιους ερευνητές) ήταν ενεργό τουλάχιστον από τα τέλη του 2022, στοχεύοντας την Ιαπωνία, τη Σιγκαπούρη, την Κίνα, το Χονγκ Κονγκ και άλλες ασιατικές χώρες.

Οι μέθοδοι διανομής είναι άγνωστες, αλλά τα ονόματα των εκτελέσιμων δειγμάτων μοιάζουν με δημοφιλή λογισμικά (flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe). Αυτό θα μπορούσε να σημαίνει ότι η διανομή γίνεται μέσω malvertizing ή άλλων παρόμοιων τεχνικών.

Δείτε επίσης: Οι Kimsuky hackers χρησιμοποιούν ScreenConnect bugs για διανομή του ToddleShark malware

Κατάχρηση της υπηρεσίας aNotepad

Όπως προαναφέρθηκε, έγινε κατάχρηση της δωρεάν διαδικτυακής πλατφόρμας aNotepad για τη φιλοξενία ενός base64-encoded .NET binary της έκδοσης Windows του malware, μεταμφιεσμένο ως εργαλείο της Adobe.

Όντας μια νόμιμη διαδικτυακή υπηρεσία, το aNotepad δεν περιλαμβάνεται στη λίστα αποκλεισμού και δεν αντιμετωπίζεται ύποπτα από εργαλεία ασφαλείας. Όταν το WogRAT malware εκτελείται για πρώτη φορά στον υπολογιστή-στόχο, δεν θα επισημανθεί από τα εργαλεία ασφαλείας, καθώς δεν διαθέτει καμία κακόβουλη λειτουργία.

Ωστόσο, περιέχει κρυπτογραφημένο source code για ένα πρόγραμμα λήψης κακόβουλου λογισμικού, που γίνεται compiled και εκτελείται αμέσως.

Αυτό το πρόγραμμα λήψης ανακτά ένα επιπλέον κακόβουλο .NET binary που είναι αποθηκευμένο στο aNotepad, με αποτέλεσμα τη φόρτωση ενός DLL, το οποίο είναι το WogRAT malware.

Το WogRAT malware στέλνει κάποιες βασικές πληροφορίες του μολυσμένου συστήματος στον command and control (C2) server που ελέγχουν οι επιτιθέμενοι. Στη συνέχεια, λαμβάνει περαιτέρω εντολές για εκτέλεση.

Δείτε επίσης: Επίθεση τύπου Stuxnet μέσω διαδικτυακού PLC malware

Υπάρχουν πέντε υποστηριζόμενες λειτουργίες:

• Εκτέλεση μιας εντολής
• Λήψη αρχείου από καθορισμένη διεύθυνση URL
• Μεταφόρτωση αρχείου στο C2
• Αναμονή για έναν καθορισμένο χρόνο (σε δευτερόλεπτα)
• Διακοπή

WogRAT malware: Έκδοση Linux

Η έκδοση Linux του WogRAT, η οποία διατίθεται σε μορφή ELF, μοιάζει αρκετά με την έκδοση που στοχεύει Windows συστήματα. Ωστόσο, χρησιμοποιεί το Tiny Shell για λειτουργίες routing και πρόσθετη κρυπτογράφηση στην επικοινωνία με το C2.

Το TinySHell είναι ένα backdoor ανοιχτού κώδικα που διευκολύνει την ανταλλαγή δεδομένων και την εκτέλεση εντολών σε συστήματα Linux.

Επιπλέον, στην έκδοση Linux του WogRAT malware, οι εντολές δεν αποστέλλονται μέσω αιτημάτων POST, αλλά εκδίδονται μέσω ενός reverse shell που δημιουργείται σε μια δεδομένη IP και θύρα.

Οι αναλυτές του ASEC δεν γνωρίζουν πώς αυτά τα ELF binaries διανέμονται στα θύματα, καθώς η παραλλαγή Linux δεν χρησιμοποιεί το aNotepad για τη φιλοξενία και την ανάκτηση κακόβουλου κώδικα.

Δείτε επίσης: Hackers υπέρ της Χαμάς στοχεύουν το Ισραήλ με το BiBi malware

Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση του ASEC.

Μία από τις πιο αποτελεσματικές μεθόδους προστασίας από malware είναι η χρήση αξιόπιστου λογισμικού ασφαλείας. Αυτά τα λογισμικά ελέγχουν τακτικά τον υπολογιστή για την ανίχνευση και την αφαίρεση κακόβουλου λογισμικού.

Η ενημέρωση του λειτουργικού συστήματος και των εφαρμογών είναι επίσης ζωτικής σημασίας. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από νέες απειλές malware (π.χ. WogRAT).

Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία από την πρόσβαση malware στις προσωπικές σας πληροφορίες.

Τέλος, η προσεκτική αλληλεπίδραση με το διαδίκτυο είναι απαραίτητη. Αποφύγετε την επίσκεψη σε ύποπτους ιστότοπους, τη λήψη αρχείων από αναξιόπιστες πηγές και το κλικ σε συνδέσμους ή συνημμένα από άγνωστους αποστολείς.

Πηγή: www.bleepingcomputer.com