Descubrir que herramientas cotidianas en línea pueden convertirse en vectores de amenazas cibernéticas es una realidad que sorprende y alerta a usuarios y profesionales de la seguridad por igual. Entre estos nuevos métodos de ataque, WogRAT destaca por su ingeniosa explotación de servicios de bloc de notas online para diseminar y alojar virus. Este enfoque no solo muestra la adaptabilidad de los ciberdelincuentes ante las estrategias de defensa actuales, sino que también subraya la importancia de reconsiderar nuestra percepción de las aplicaciones web aparentemente seguras.
El recién identificado malware, bautizado como 'WogRAT', está atacando sistemas operativos Windows y Linux mediante el uso de una plataforma de notas en línea conocida como 'aNotepad'. Este sitio se utiliza como un medio subrepticio para alojar y distribuir código dañino.
Investigadores de AhnLab Security Emergency Response Center (ASEC), quienes le dieron el nombre al virus inspirándose en la frase 'WingOfGod', han observado su actividad desde finales de 2022. Los ataques han sido predominantemente en países asiáticos como Japón, Singapur, China y Hong Kong.
Aunque la estrategia exacta de distribución del malware aún no está clara, los nombres de los archivos ejecutables encontrados (tales como flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, entre otros) sugieren una similitud con aplicaciones populares, lo que indica una posible propagación a través de publicidad engañosa o métodos parecidos.
Podría interesarte leer: Análisis de Malware con Wazuh
La explotación de plataformas de notas en línea, como el caso de aNotepad, una herramienta gratuita para crear notas online, destaca por su ingeniosidad para albergar un binario .NET de la versión para Windows del malware, oculto bajo la apariencia de una aplicación de Adobe. Dado que aNotepad es un servicio legítimo, no se encuentra bloqueado ni es considerado sospechoso por soluciones de seguridad, facilitando así un método de infección más encubierto.
La detección del malware al ejecutarse inicialmente en el dispositivo de la víctima por parte de herramientas antivirus es improbable, al no manifestar características explícitamente maliciosas en ese momento. No obstante, el malware encierra dentro de sí un código fuente oculto para un programa descargador que se compila y ejecuta dinámicamente.
Este programa descargador se encarga de recuperar otro binario .NET perjudicial, que se encuentra almacenado y codificado en base64 dentro de otro documento de notas en línea. Este proceso culmina con la activación de una DLL, introduciendo así la puerta trasera WogRAT en el sistema.
Una vez instalado, WogRAT establece comunicación con un servidor de comando y control (C2), enviando un perfil básico del sistema comprometido y quedando a la espera de instrucciones específicas. El malware está programado para admitir cinco comandos principales: ejecución de comandos arbitrarios, descarga de archivos desde una URL dada, subida de archivos seleccionados al servidor C2, pausa durante un intervalo de tiempo determinado y, finalmente, autoterminación.
Secuencias cifradas obtenidas de un documento de notas en línea
Podría interesarte: Fallas en ScreenConnect Desatan Malware ToddleShark
La versión de WogRAT para Linux, presentada en formato ELF, guarda ciertas similitudes con su contraparte de Windows, aunque introduce diferencias clave en su operación. Una de estas es el uso de Tiny Shell para tareas de enrutamiento y un cifrado más complejo en las comunicaciones con su servidor de comando y control (C2).
Tiny Shell, una herramienta de puerta trasera de código abierto, permite la transmisión de datos y la ejecución de comandos en entornos Linux. Esta herramienta ha sido utilizada por diversos grupos de ciberamenazas como LightBasin, OldGremlin, UNC4540, y los responsables del rootkit de Linux 'Syslogk'.
A diferencia de la versión para Windows, donde los comandos se transmiten mediante solicitudes POST, la variante de Linux utiliza un shell inverso que se comunica a través de una IP y puerto específicos. Notablemente, esta versión de Linux no recurre a servicios de notas en línea para el alojamiento y recuperación del código malicioso.
Conoce más sobre: Rootkit Furtivo: Enemigo Oculto en las Sombras del Sistema
WogRAT ilustra la continua evolución del malware y la adaptación de los ciberdelincuentes a las nuevas tecnologías y hábitos de los usuarios. Al abusar de servicios de notas online, una herramienta considerada inocua, este malware subraya la importancia de mantenerse vigilante y educado sobre las amenazas de seguridad cibernética. Protegerse contra tales innovaciones maliciosas requiere una combinación de tecnología avanzada, educación y políticas de seguridad efectivas. A medida que el paisaje de la ciberseguridad continúa evolucionando, también debe hacerlo nuestra respuesta a él.
No esperes a ser víctima de un ataque para tomar acción. Con el SOC as a Service de TecnetOne, obtienes un aliado experto en la detección de malware. Nuestro servicio de vigilancia cibernética opera 24/7, utilizando las tecnologías más avanzadas y un equipo de expertos dedicados a proteger tu infraestructura. No dejes que las amenazas digitales pongan en riesgo tu operación. Contáctanos hoy y descubre cómo TecnetOne puede ser tu escudo frente a los ataques maliciosos.