ZenRAT ਮਾਲਵੇਅਰ

ZenRAT ਵਜੋਂ ਜਾਣਿਆ ਜਾਣ ਵਾਲਾ ਇੱਕ ਨਾਵਲ ਅਤੇ ਮਾਲਵੇਅਰ ਰੂਪ ਡਿਜੀਟਲ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ ਹੈ। ਇਸ ਮਾਲਵੇਅਰ ਨੂੰ ਜਾਇਜ਼ ਪਾਸਵਰਡ ਮੈਨੇਜਰ ਸੌਫਟਵੇਅਰ ਦੇ ਰੂਪ ਵਿੱਚ ਧੋਖੇ ਨਾਲ ਇੰਸਟਾਲੇਸ਼ਨ ਪੈਕੇਜਾਂ ਰਾਹੀਂ ਫੈਲਾਇਆ ਜਾ ਰਿਹਾ ਹੈ। ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ ZenRAT ਮੁੱਖ ਤੌਰ 'ਤੇ ਵਿੰਡੋਜ਼ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਉਪਭੋਗਤਾਵਾਂ 'ਤੇ ਆਪਣੀਆਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਫੋਕਸ ਕਰਦਾ ਹੈ। ਇਸਦੇ ਪੀੜਤਾਂ ਨੂੰ ਫਿਲਟਰ ਕਰਨ ਲਈ, ਦੂਜੇ ਸਿਸਟਮਾਂ 'ਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨੁਕਸਾਨ ਰਹਿਤ ਵੈਬ ਪੇਜਾਂ 'ਤੇ ਭੇਜਿਆ ਜਾਵੇਗਾ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਇੱਕ ਵਿਆਪਕ ਤਕਨੀਕੀ ਰਿਪੋਰਟ ਵਿੱਚ ਇਸ ਉਭਰ ਰਹੇ ਖਤਰੇ ਦੀ ਤਨਦੇਹੀ ਨਾਲ ਜਾਂਚ ਅਤੇ ਦਸਤਾਵੇਜ਼ੀ ਰੂਪ ਵਿੱਚ ਜਾਂਚ ਕੀਤੀ ਹੈ। ਉਹਨਾਂ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਅਨੁਸਾਰ, ZenRAT ਮਾਡਿਊਲਰ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RATs) ਦੀ ਸ਼੍ਰੇਣੀ ਵਿੱਚ ਆਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਸੰਕਰਮਿਤ ਯੰਤਰਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਚੋਰੀ-ਛਿਪੇ ਬਾਹਰ ਕੱਢਣ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਪੀੜਤਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਲਈ ਸੰਭਾਵੀ ਖਤਰਿਆਂ ਨੂੰ ਤੇਜ਼ ਕਰਦਾ ਹੈ।

ZenRAT ਇੱਕ ਜਾਇਜ਼ ਪਾਸਵਰਡ ਮੈਨੇਜਰ ਵਜੋਂ ਪੇਸ਼ ਕਰਦਾ ਹੈ

ZenRAT ਨਕਲੀ ਵੈੱਬਸਾਈਟਾਂ ਦੇ ਅੰਦਰ ਛੁਪਿਆ ਹੋਇਆ ਹੈ, ਜੋ ਜਾਇਜ਼ ਐਪਲੀਕੇਸ਼ਨ ਲਈ ਜਾਅਲੀ ਤੌਰ 'ਤੇ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਉਹ ਤਰੀਕਾ ਜਿਸ ਦੁਆਰਾ ਟ੍ਰੈਫਿਕ ਨੂੰ ਇਹਨਾਂ ਧੋਖੇਬਾਜ਼ ਡੋਮੇਨਾਂ ਵਿੱਚ ਫੈਨਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਨਿਸ਼ਚਿਤ ਹੈ। ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ, ਮਾਲਵੇਅਰ ਦਾ ਇਹ ਰੂਪ ਫਿਸ਼ਿੰਗ, ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ, ਅਤੇ ਐਸਈਓ ਜ਼ਹਿਰੀਲੇ ਹਮਲੇ ਸਮੇਤ ਕਈ ਤਰੀਕਿਆਂ ਰਾਹੀਂ ਫੈਲਾਇਆ ਗਿਆ ਹੈ।

crazygameis(dot)com ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਗਿਆ ਪੇਲੋਡ ਮਿਆਰੀ ਇੰਸਟਾਲੇਸ਼ਨ ਪੈਕੇਜ ਦਾ ਇੱਕ ਛੇੜਛਾੜ ਵਾਲਾ ਸੰਸਕਰਣ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ .NET ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੈ ਜਿਸ ਦਾ ਨਾਮ ApplicationRuntimeMonitor.exe ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਦਾ ਇੱਕ ਦਿਲਚਸਪ ਪਹਿਲੂ ਇਹ ਹੈ ਕਿ ਜਿਹੜੇ ਉਪਭੋਗਤਾ ਅਣਜਾਣੇ ਵਿੱਚ ਗੈਰ-ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਤੋਂ ਧੋਖਾਧੜੀ ਵਾਲੀ ਵੈਬਸਾਈਟ 'ਤੇ ਆਉਂਦੇ ਹਨ, ਉਹਨਾਂ ਨੂੰ opensource.com ਤੋਂ ਇੱਕ ਡੁਪਲੀਕੇਟ ਲੇਖ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਅਸਲ ਵਿੱਚ ਮਾਰਚ 2018 ਵਿੱਚ ਪ੍ਰਕਾਸ਼ਿਤ ਹੁੰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਵਿੰਡੋਜ਼ ਉਪਭੋਗਤਾ ਜੋ ਲੀਨਕਸ ਲਈ ਮਨੋਨੀਤ ਡਾਊਨਲੋਡ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਦੇ ਹਨ। ਜਾਂ ਡਾਊਨਲੋਡ ਪੰਨੇ 'ਤੇ macOS ਨੂੰ ਜਾਇਜ਼ ਪ੍ਰੋਗਰਾਮ ਦੀ ਅਧਿਕਾਰਤ ਵੈੱਬਸਾਈਟ 'ਤੇ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ।

ZenRAT ਦੀ ਲਾਗ ਦੇ ਵਿਨਾਸ਼ਕਾਰੀ ਨਤੀਜੇ ਹੋ ਸਕਦੇ ਹਨ

ਇੱਕ ਵਾਰ ਐਕਟੀਵੇਟ ਹੋਣ 'ਤੇ, ZenRAT ਹੋਸਟ ਸਿਸਟਮ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ CPU ਕਿਸਮ, GPU ਮਾਡਲ, ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਸੰਸਕਰਣ, ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ ਸਥਾਪਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਦੀ ਸੂਚੀ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਡੇਟਾ ਫਿਰ ਧਮਕੀ ਐਕਟਰਾਂ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਦਾ IP ਪਤਾ 185.186.72 ਹੈ[.]14।

ਕਲਾਇੰਟ C2 ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਅਤੇ ਜਾਰੀ ਕੀਤੇ ਗਏ ਹੁਕਮ ਜਾਂ ਕਿਸੇ ਵੀ ਵਾਧੂ ਡੇਟਾ ਦੀ ਪਰਵਾਹ ਕੀਤੇ ਬਿਨਾਂ, ਭੇਜੇ ਗਏ ਸ਼ੁਰੂਆਤੀ ਪੈਕੇਟ ਦਾ ਆਕਾਰ ਲਗਾਤਾਰ 73 ਬਾਈਟ ਹੁੰਦਾ ਹੈ।

ZenRAT ਨੂੰ ਇਸਦੇ ਲੌਗਸ ਨੂੰ ਸਰਵਰ ਨੂੰ ਸਾਦੇ ਟੈਕਸਟ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਵੀ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਲੌਗ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਸਿਸਟਮ ਜਾਂਚਾਂ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਰਿਕਾਰਡ ਕਰਦੇ ਹਨ ਅਤੇ ਹਰੇਕ ਮੋਡੀਊਲ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਸਥਿਤੀ ਬਾਰੇ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇਹ ਕਾਰਜਕੁਸ਼ਲਤਾ ਇੱਕ ਮਾਡਯੂਲਰ ਅਤੇ ਵਿਸਤ੍ਰਿਤ ਇਮਪਲਾਂਟ ਵਜੋਂ ਇਸਦੀ ਭੂਮਿਕਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਅਕਸਰ ਉਹਨਾਂ ਫਾਈਲਾਂ ਰਾਹੀਂ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ ਜੋ ਪ੍ਰਮਾਣਿਕ ਐਪਲੀਕੇਸ਼ਨ ਸਥਾਪਕ ਹੋਣ ਦਾ ਦਿਖਾਵਾ ਕਰਦੇ ਹਨ। ਅੰਤਮ ਖਪਤਕਾਰਾਂ ਲਈ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਸਰੋਤਾਂ ਤੋਂ ਸੌਫਟਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਕੇ ਅਤੇ ਇਹ ਤਸਦੀਕ ਕਰਨ ਦੁਆਰਾ ਸਾਵਧਾਨੀ ਵਰਤਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਡੋਮੇਨ ਹੋਸਟਿੰਗ ਸੌਫਟਵੇਅਰ ਡਾਉਨਲੋਡ ਅਧਿਕਾਰਤ ਵੈੱਬਸਾਈਟ ਨਾਲ ਜੁੜੇ ਉਹਨਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਖੋਜ ਇੰਜਨ ਨਤੀਜਿਆਂ ਵਿੱਚ ਇਸ਼ਤਿਹਾਰਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨ ਵੇਲੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਸਾਵਧਾਨੀ ਵਰਤਣੀ ਚਾਹੀਦੀ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਇਸ ਕਿਸਮ ਦੇ ਸੰਕਰਮਣ ਦੇ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਰੋਤ ਵਜੋਂ ਉਭਰਿਆ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਪਿਛਲੇ ਸਾਲ ਵਿੱਚ।