07/03/24
В последние месяцы по киберпространству активно распространяется новое вредоносное ПО под названием WogRAT, нацеленное на пользователей операционных систем Windows и Linux, пишет Securitylab.
Исследователи из AhnLab Security (ASEC) обнаружили, что WogRAT, названный так из-за строки «WingOfGod» («крыло бога») во вредоносном коде, активен с конца 2022 года и преимущественно атакует пользователей в Японии, Сингапуре, Китае, Гонконге и в других азиатских странах.
Способы распространения вредоноса пока неизвестны, однако исполняемые файлы часто маскируются под популярные программы, что указывает на возможное использование методов рекламного вредоноса.
Особенностью последней волны распространения WogRAT является использование онлайн-сервиса aNotepad для хранения закодированного в base64 бинарного файла Windows-версии вредоноса. Такой подход позволяет избежать подозрений со стороны инструментов безопасности и упрощает процесс заражения.
После запуска на заражённом устройстве, WogRAT загружает и выполняет дополнительный вредоносный бинарный файл, также закодированный в base64 на aNotepad, что в конечном итоге приводит к активации одноимённого бэкдора.
Бэкдор WogRAT поддерживает выполнение команд, загрузку и отправку файлов, а также может выполнять другие действия по команде от сервера управления.
Версия вредоноса для Linux отличается использованием Tiny Shell для маршрутизации операций и дополнительным шифрованием в коммуникации с сервером управления. Для заражения Linux-систем сервис aNotepad злоумышленниками не используется.
Аналитики ASEC сообщили, что полный список индикаторов компрометации, связанных с WogRAT, доступен в их отчёте.
Результаты исследования подчёркивают необходимость повышенной бдительности при загрузке и установке программного обеспечения из Интернета, а также важность использования надёжных средств кибербезопасности для защиты от подобных угроз.
