WogRAT, também conhecido como WingsOfGod RAT, é um trojan de acesso remoto para iniciantes que ataca usuários de países asiáticos. Nomeado após seu próprio arquivo – Wingsofgod.dll, esse malware ataca pessoas desde tarde 2022, espalhando pelo serviço de bloco de notas online.
O que é WogRAT (WingsOfGod.dll)?
WogRAT é um exemplo clássico de trojan de acesso remoto, um programa malicioso tipo backdoor que se concentra em fornecer acesso remoto ao sistema infectado. Os pesquisadores da ASEC foram os primeiros a detectar e rastrear a campanha de malware. Eles também enfatizam que este programa malicioso tem como alvo principal os países asiáticos – China, Japão, Singapura e Hong Kong em primeiro lugar.
O estranho sobre o WogRAT é que suas campanhas de divulgação não foram detectadas, mesmo que alguns dos métodos foram explicados na pesquisa original. Programas maliciosos (mais especificamente - seu carregador) está disfarçado como um arquivo postado em um serviço de bloco de notas online. Sua nomenclatura supõe que as fraudes oferecem o WogRAT como algum tipo de utilitário de ajuste de sistema/programa. Esse, por sua vez, supõe que a propagação inicial do malware aconteça em locais “fechados”, como bate-papos em mensageiros ou similares.
Nomes para arquivos do carregador de malware disponíveis no aNotepad:
BrowserFixup.exe, ChromeFixup.exe, WindowsApp.exe, WindowsTool.exe, HttpDownload.exe, ToolKit.exe, flashsetup_LL3gjJ7.exe
Análise Técnica do Malware WogRAT
Como eu disse, o download original do site aNotepad obtém apenas o carregador de malware na forma codificada. Após a execução, ele se compila em execução e solicita a carga real de uma página diferente hospedada no mesmo site. Dependendo do ataque, a fonte da carga útil do segundo estágio pode ser diferente.
C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 /OUT:C:\Users\
O arquivo baixado é um assembly .NET semelhante, codificado com Base64 e apresentado como uma string de texto no site de origem. O carregador descriptografa a carga útil e a carrega na memória usando a técnica de esvaziamento de processo.
C:\Windows\SysWOW64\WerFault.exe -u -p 8008 -s 2068
Na inicialização, WogRAT coleta informações básicas do sistema verificando diferentes chaves de registro e executando comandos. Em particular, reúne informações sobre conexões de rede, versão do sistema, nome de usuário e algumas informações sobre políticas do sistema. O malware empilha esses dados com as informações de seu próprio processo e os envia para o servidor de comando na solicitação HTTP POST. Depois disso, malware muda para inativo, esperando pelos comandos.
act=on&bid=4844-1708721090438&name=System1\User1
WogRAT tem um conjunto bastante interessante de comandos e propriedades que espera receber. A fórmula simplificada consiste em 3 elementos, e parece com isso:
| Elemento | Valor e propósito |
|---|---|
| task_id=%id% | valor do texto, corresponde à tarefa |
| task_type=%type% | valor numérico, corresponde à ação |
| task_data=�ta% | Caminho para o arquivo ao qual a tarefa deve ser aplicada (URL para downloads) |
O comando resultante é semelhante ao seguinte:
task_id=upldr&task_type=3&task_data=C:\\Windows\System32\drivers\etc\hosts
Este malware suporta 5 diferentes tipos de operações: executando arquivos específicos, baixando ou enviando os arquivos, alterando o tempo ocioso, e encerrando a execução. Não é uma lista enorme à primeira vista, mas em combinação com diferentes tipos de tarefas, isso fornece uma funcionalidade completa de backdoor.
Como remover WogRAT?
WogRAT não é o malware mais furtivo que existe; na verdade, é mais dependente do método de espalhamento complicado e do carregador de dois estágios. Ainda, a quantidade de ganchos que cria no sistema torna particularmente difícil removê-lo manualmente. Por essa razão, Eu recomendo usar GridinSoft Anti-Malware: uma varredura completa com esse programa será suficiente para repelir o RAT e todas as suas partes no sistema.
