WingsOfGod.dll – Análise de malware WogRAT & Remoção

WogRAT Malware (WingsOfGod.dll) - Teardown and Removal Tutorial
WogRAT is a pretty simple backdoor with mysterious spreading ways

WogRAT, também conhecido como WingsOfGod RAT, é um trojan de acesso remoto para iniciantes que ataca usuários de países asiáticos. Nomeado após seu próprio arquivo – Wingsofgod.dll, esse malware ataca pessoas desde tarde 2022, espalhando pelo serviço de bloco de notas online.

O que é WogRAT (WingsOfGod.dll)?

WogRAT é um exemplo clássico de trojan de acesso remoto, um programa malicioso tipo backdoor que se concentra em fornecer acesso remoto ao sistema infectado. Os pesquisadores da ASEC foram os primeiros a detectar e rastrear a campanha de malware. Eles também enfatizam que este programa malicioso tem como alvo principal os países asiáticos – China, Japão, Singapura e Hong Kong em primeiro lugar.

O estranho sobre o WogRAT é que suas campanhas de divulgação não foram detectadas, mesmo que alguns dos métodos foram explicados na pesquisa original. Programas maliciosos (mais especificamente - seu carregador) está disfarçado como um arquivo postado em um serviço de bloco de notas online. Sua nomenclatura supõe que as fraudes oferecem o WogRAT como algum tipo de utilitário de ajuste de sistema/programa. Esse, por sua vez, supõe que a propagação inicial do malware aconteça em locais “fechados”, como bate-papos em mensageiros ou similares.

Strings codificadas aNotepad
Strings codificadas armazenadas em um bloco de notas

Nomes para arquivos do carregador de malware disponíveis no aNotepad:

BrowserFixup.exe, ChromeFixup.exe, WindowsApp.exe, WindowsTool.exe, HttpDownload.exe, ToolKit.exe, flashsetup_LL3gjJ7.exe

Análise Técnica do Malware WogRAT

Como eu disse, o download original do site aNotepad obtém apenas o carregador de malware na forma codificada. Após a execução, ele se compila em execução e solicita a carga real de uma página diferente hospedada no mesmo site. Dependendo do ataque, a fonte da carga útil do segundo estágio pode ser diferente.

C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 /OUT:C:\Users\\AppData\Local\Temp\RESF175.tmp c:\Users\\AppData\Local\Temp\2jahfobn\CSC51D40ACB8B5440B2A46FD286719924C.TMP – the command used by the loader to compile itself

O arquivo baixado é um assembly .NET semelhante, codificado com Base64 e apresentado como uma string de texto no site de origem. O carregador descriptografa a carga útil e a carrega na memória usando a técnica de esvaziamento de processo.

C:\Windows\SysWOW64\WerFault.exe -u -p 8008 -s 2068

Na inicialização, WogRAT coleta informações básicas do sistema verificando diferentes chaves de registro e executando comandos. Em particular, reúne informações sobre conexões de rede, versão do sistema, nome de usuário e algumas informações sobre políticas do sistema. O malware empilha esses dados com as informações de seu próprio processo e os envia para o servidor de comando na solicitação HTTP POST. Depois disso, malware muda para inativo, esperando pelos comandos.

act=on&bid=4844-1708721090438&name=System1\User1

WogRAT tem um conjunto bastante interessante de comandos e propriedades que espera receber. A fórmula simplificada consiste em 3 elementos, e parece com isso:

Elemento Valor e propósito
task_id=%id% valor do texto, corresponde à tarefa
task_type=%type% valor numérico, corresponde à ação
task_data=�ta% Caminho para o arquivo ao qual a tarefa deve ser aplicada (URL para downloads)

O comando resultante é semelhante ao seguinte:

task_id=upldr&task_type=3&task_data=C:\\Windows\System32\drivers\etc\hosts

Este malware suporta 5 diferentes tipos de operações: executando arquivos específicos, baixando ou enviando os arquivos, alterando o tempo ocioso, e encerrando a execução. Não é uma lista enorme à primeira vista, mas em combinação com diferentes tipos de tarefas, isso fornece uma funcionalidade completa de backdoor.

Como remover WogRAT?

WogRAT não é o malware mais furtivo que existe; na verdade, é mais dependente do método de espalhamento complicado e do carregador de dois estágios. Ainda, a quantidade de ganchos que cria no sistema torna particularmente difícil removê-lo manualmente. Por essa razão, Eu recomendo usar GridinSoft Anti-Malware: uma varredura completa com esse programa será suficiente para repelir o RAT e todas as suas partes no sistema.

<span longo = "um">WingsOfGod.dll &#8211; Análise de malware WogRAT &#038; Remoção</período>

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *