WogRAT, también conocido como WingsOfGod RAT, es un troyano novato de acceso remoto que ataca a usuarios de países asiáticos. El nombre de su propio archivo: Wingsofgod.dll, este malware ataca a personas desde tarde 2022, difundiendo a través del servicio de bloc de notas en línea.
¿Qué es WogRAT? (WingsOfGod.dll)?
WogRAT es un ejemplo clásico de troyano de acceso remoto, un programa malicioso similar a una puerta trasera que se centra en proporcionar acceso remoto al sistema infectado. Los investigadores de ASEC fueron los primeros en detectar y rastrear la campaña de malware. Además, enfatizan que este programa malicioso se dirige principalmente a países asiáticos. Porcelana, Japón, Singapur y Hong Kong en primer lugar.
Lo extraño de WogRAT es que sus campañas de difusión no fueron detectadas, aunque algunos de los métodos fueron explicados en la investigación original. malware (más específicamente - su cargador) está disfrazado de un archivo publicado en un servicio de bloc de notas en línea. Su denominación supone que los fraudes ofrecen WogRAT como una utilidad de algún tipo para ajustar el sistema/programa.. Éste, a su vez, supone que la propagación inicial del malware se produce en lugares "cerrados", como chats en messengers o similares.
Nombres de archivos de carga de malware que están disponibles en un Bloc de notas:
BrowserFixup.exe, ChromeFixup.exe, WindowsApp.exe, WindowsTool.exe, HttpDownload.exe, ToolKit.exe, flashsetup_LL3gjJ7.exe
Análisis técnico WogRAT Malware
Como ya he dicho, la descarga original del sitio aNotepad obtiene sólo el cargador de malware en forma codificada. Tras la ejecución, se compila a sí mismo durante la ejecución y solicita la carga útil real desde una página diferente alojada en el mismo sitio. Dependiendo del ataque, la fuente de la carga útil de la segunda etapa puede diferir.
C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 /OUT:C:\Users\
El archivo descargado es un ensamblado .NET similar, codificado con Base64 y presentar como una cadena de texto en el sitio web de origen. El cargador descifra la carga útil y la carga en la memoria utilizando la técnica de vaciado de procesos..
C:\Windows\SysWOW64\WerFault.exe -u -p 8008 -s 2068
Al iniciar, WogRAT recopila información básica del sistema comprobando diferentes claves de registro y ejecutando comandos. En particular, recopila información sobre conexiones de red, versión del sistema, nombre de usuario y parte de la información sobre las políticas del sistema. El malware acumula estos datos con la información de su propio proceso y los envía al servidor de comando en la solicitud HTTP POST. Después de eso, el malware cambia a inactivo, esperando los comandos.
act=on&bid=4844-1708721090438&name=System1\User1
WogRAT tiene un conjunto bastante interesante de comandos y propiedades que espera recibir. La fórmula simplificada consiste en 3 elementos, y se parece a esto:
| Elemento | Valor y propósito |
|---|---|
| task_id=%id% | valor de texto, corresponde a la tarea |
| tipo_tarea=%tipo% | valor numérico, corresponde a la acción |
| task_data=�tos% | Ruta al archivo al que se debe aplicar la tarea (URL para descargas) |
El comando resultante es como el siguiente:
task_id=upldr&task_type=3&task_data=C:\\Windows\System32\drivers\etc\hosts
Este malware admite 5 diferentes tipos de operaciones: ejecutando archivos específicos, descargar o cargar los archivos, alterar el tiempo de inactividad, y poner fin a la ejecución. No es una lista enorme a primera vista., pero en combinación con diferentes tipos de tareas, esto proporciona una funcionalidad de puerta trasera completa.
Cómo eliminar WogRAT?
WogRAT no es el malware más sigiloso que existe; De hecho, depende más del complicado método de distribución y del cargador de dos etapas.. Aún, la cantidad de ganchos que crea en el sistema hace que sea particularmente difícil de quitar manualmente. Por esta razón, Recomiendo usar GridinSoft Anti-Malware: un escaneo completo con ese programa será suficiente para repeler la RAT y todas sus partes en todo el sistema.
