ZenRAT-malware

Een nieuwe en zorgwekkende malwarevariant, bekend als ZenRAT, is opgedoken in het digitale landschap. Deze malware wordt verspreid via misleidende installatiepakketten die zich voordoen als legitieme wachtwoordbeheersoftware. Het is vermeldenswaard dat ZenRAT zijn kwaadaardige activiteiten voornamelijk richt op gebruikers van Windows-besturingssystemen. Om de slachtoffers eruit te filteren, worden gebruikers op andere systemen omgeleid naar onschadelijke webpagina's.

Cybersecurity-experts hebben deze opkomende dreiging ijverig onderzocht en gedocumenteerd in een uitgebreid technisch rapport. Volgens hun analyse valt ZenRAT in de categorie van modulaire Remote Access Trojans (RAT's). Bovendien vertoont het de mogelijkheid om heimelijk gevoelige informatie van geïnfecteerde apparaten te exfiltreren, waardoor de potentiële risico's die het met zich meebrengt voor slachtoffers en organisaties worden vergroot.

ZenRAT doet zich voor als een legitieme wachtwoordbeheerder

ZenRAT is verborgen in namaakwebsites en doet zich valselijk voor als websites voor de legitieme toepassing. De methode waarmee verkeer naar deze misleidende domeinen wordt geleid, blijft onzeker. Historisch gezien is deze vorm van malware op verschillende manieren verspreid, waaronder phishing, malvertising en SEO-vergiftigingsaanvallen.

De payload die is opgehaald van Crazygameis(dot)com is een geknoeide versie van het standaardinstallatiepakket, dat een kwaadaardig .NET-uitvoerbaar bestand bevat met de naam ApplicationRuntimeMonitor.exe.

Een intrigerend aspect van deze campagne is dat gebruikers die per ongeluk op de frauduleuze website terechtkomen vanaf niet-Windows-systemen, worden doorgestuurd naar een gedupliceerd artikel van opensource.com, oorspronkelijk gepubliceerd in maart 2018. Bovendien kunnen Windows-gebruikers die op downloadlinks klikken die zijn bedoeld voor Linux of macOS op de downloadpagina worden omgeleid naar de officiële website van het legitieme programma.

Een ZenRAT-infectie kan verwoestende gevolgen hebben

Eenmaal geactiveerd verzamelt ZenRAT informatie over het hostsysteem, inclusief het CPU-type, GPU-model, besturingssysteemversie, browserreferenties en een lijst met geïnstalleerde applicaties en beveiligingssoftware. Deze gegevens worden vervolgens verzonden naar een Command-and-Control (C2)-server die wordt beheerd door de bedreigingsactoren en die het IP-adres 185.186.72[.]14 heeft.

De client brengt de communicatie tot stand met de C2-server, en ongeacht het gegeven commando of eventuele aanvullende gegevens die worden verzonden, is het aanvankelijk verzonden pakket consistent 73 bytes groot.

ZenRAT is bovendien geconfigureerd om zijn logs in platte tekst naar de server te verzenden. Deze logboeken registreren een reeks systeemcontroles die door de malware worden uitgevoerd en geven informatie over de status van de uitvoering van elke module. Deze functionaliteit benadrukt zijn rol als modulair en uitbreidbaar implantaat.

Bedreigende software wordt vaak verspreid via bestanden die zich voordoen als authentieke applicatie-installatieprogramma's. Het is van cruciaal belang dat uiteindelijke consumenten voorzichtig zijn door uitsluitend software te downloaden van gerenommeerde bronnen en te verifiëren dat de domeinen die softwaredownloads hosten overeenkomen met de domeinen die aan de officiële website zijn gekoppeld. Bovendien moeten individuen voorzichtig zijn als ze advertenties tegenkomen in de resultaten van zoekmachines, aangezien dit vooral het afgelopen jaar een belangrijke bron van dit soort infecties is gebleken.