Um novo malware, apelidado de ‘WogRAT’, está mirando sistemas Windows e Linux em ataques que abusam de uma plataforma online de bloco de notas chamada ‘aNotepad’ como um canal oculto para armazenar e recuperar código malicioso. Os pesquisadores que nomearam o malware a partir de uma string que lê ‘WingOfGod’, relatam que ele está ativo desde pelo menos o final de 2022, visando Japão, Singapura, China, Hong Kong e outros países asiáticos.

Os métodos de distribuição são desconhecidos, mas os nomes dos executáveis amostrados se assemelham a softwares populares (flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), sugerindo que provavelmente são distribuídos via malvertising ou esquemas similares.

O abuso de blocos de notas online é notável, com o aNotepad, um serviço gratuito de bloco de notas online, sendo usado para hospedar um binário .NET codificado em base64 da versão Windows do malware, disfarçado como uma ferramenta da Adobe. Sendo um serviço online legítimo, o aNotepad não é bloqueado ou tratado com suspeita pelas ferramentas de segurança, o que ajuda a tornar a cadeia de infecção mais furtiva.

Quando o malware é inicialmente executado na máquina da vítima, é improvável que seja marcado pelas ferramentas AV, pois não apresenta nenhuma funcionalidade maliciosa. No entanto, o malware contém código fonte criptografado para um downloader de malware que é compilado e executado instantaneamente.