ZenRAT ļaunprātīga programmatūra

Digitālajā vidē ir parādījies jauns un satraucošs ļaunprogrammatūras variants, kas pazīstams kā ZenRAT. Šī ļaunprogrammatūra tiek izplatīta, izmantojot maldinošas instalācijas pakotnes, kas tiek maskētas kā likumīga paroļu pārvaldnieka programmatūra. Ir vērts atzīmēt, ka ZenRAT savas ļaunprātīgās darbības galvenokārt koncentrējas uz Windows operētājsistēmas lietotājiem. Lai filtrētu upurus, lietotāji citās sistēmās tiks novirzīti uz nekaitīgām Web lapām.

Kiberdrošības eksperti ir rūpīgi pārbaudījuši un dokumentējuši šo jauno apdraudējumu visaptverošā tehniskajā ziņojumā. Saskaņā ar viņu analīzi ZenRAT ietilpst modulāro attālās piekļuves Trojas zirgu (RAT) kategorijā. Turklāt tas spēj slepeni izfiltrēt sensitīvu informāciju no inficētām ierīcēm, pastiprinot iespējamos riskus, ko tas rada upuriem un organizācijām.

ZenRAT ir likumīgs paroļu pārvaldnieks

ZenRAT ir paslēpts viltotās vietnēs, nepatiesi izliekoties par likumīgām lietojumprogrammām. Metode, ar kuru datplūsma tiek novirzīta uz šiem maldinošajiem domēniem, joprojām nav skaidra. Vēsturiski šāda veida ļaunprātīga programmatūra ir izplatīta, izmantojot dažādus līdzekļus, tostarp pikšķerēšanas, ļaunprātīgas izmantošanas un SEO saindēšanās uzbrukumus.

No crazygameis(dot)com izgūtā slodze ir standarta instalācijas pakotnes bojāta versija, kas satur ļaunprātīgu .NET izpildāmo failu ApplicationRuntimeMonitor.exe.

Interesants šīs kampaņas aspekts ir tas, ka lietotāji, kuri netīšām nonāk krāpnieciskā vietnē no sistēmām, kas nav Windows sistēmas, tiek novirzīti uz dublēto rakstu no opensource.com, kas sākotnēji tika publicēts 2018. gada martā. Turklāt Windows lietotāji, kuri noklikšķina uz Linux paredzētām lejupielādes saitēm. vai macOS lapā Lejupielādes tiek novirzīti uz likumīgās programmas oficiālo vietni.

ZenRAT infekcijai var būt postošas sekas

Pēc aktivizēšanas ZenRAT apkopo informāciju par resursdatora sistēmu, tostarp CPU veidu, GPU modeli, operētājsistēmas versiju, pārlūkprogrammas akreditācijas datus un instalēto lietojumprogrammu un drošības programmatūras sarakstu. Pēc tam šie dati tiek nosūtīti uz Command-and-Control (C2) serveri, ko pārvalda apdraudējuma dalībnieki un kura IP adrese ir 185.186.72[.]14.

Klients izveido saziņu ar C2 serveri, un neatkarīgi no izdotās komandas vai jebkādiem papildu pārsūtītajiem datiem sākotnējā nosūtītā pakete vienmēr ir 73 baiti liela.

ZenRAT ir papildus konfigurēts, lai pārsūtītu savus žurnālus uz serveri vienkāršā tekstā. Šajos žurnālos tiek reģistrēta ļaunprātīgas programmatūras veikto sistēmas pārbaužu sērija un sniegta informācija par katra moduļa izpildes statusu. Šī funkcionalitāte izceļ tās kā modulāra un paplašināma implanta lomu.

Draudoša programmatūra bieži tiek izplatīta, izmantojot failus, kas izliekas par autentiskiem lietojumprogrammu instalētājiem. Patērētājiem ir ļoti svarīgi ievērot piesardzību, lejupielādējot programmatūru tikai no uzticamiem avotiem un pārbaudot, vai domēni, kuros tiek mitinātas programmatūras lejupielādes, atbilst tiem, kas saistīti ar oficiālo vietni. Turklāt personām ir jāievēro piesardzība, saskaroties ar reklāmām meklētājprogrammu rezultātos, jo tas ir kļuvis par nozīmīgu šāda veida infekciju avotu, jo īpaši pagājušajā gadā.