Зловреден софтуер ZenRAT

Нов и тревожен вариант на злонамерен софтуер, известен като ZenRAT, се появи в дигиталната среда. Този зловреден софтуер се разпространява чрез измамни инсталационни пакети, маскирани като легитимен софтуер за управление на пароли. Струва си да се отбележи, че ZenRAT основно фокусира своите злонамерени дейности върху потребителите на операционната система Windows. За да филтрират своите жертви, потребителите на други системи ще бъдат пренасочени към безобидни уеб страници.

Експертите по киберсигурност внимателно проучиха и документираха тази възникваща заплаха в изчерпателен технически доклад. Според техния анализ ZenRAT попада в категорията на модулните троянски коне за отдалечен достъп (RAT). Нещо повече, той проявява способността за тайно ексфилтриране на чувствителна информация от заразени устройства, засилвайки потенциалните рискове, които представлява за жертвите и организациите.

ZenRAT се представя за легитимен мениджър на пароли

ZenRAT е скрит във фалшиви уебсайтове, фалшиво представящи се като такива за легитимното приложение. Методът, по който трафикът се насочва към тези измамни домейни, остава несигурен. В исторически план тази форма на злонамерен софтуер е била разпространявана чрез различни средства, включително фишинг, злонамерена реклама и атаки с отравяне на SEO.

Полезният товар, извлечен от crazygameis(dot)com, е подправена версия на стандартния инсталационен пакет, съдържащ злонамерен .NET изпълним файл с име ApplicationRuntimeMonitor.exe.

Интригуващ аспект на тази кампания е, че потребителите, които по невнимание попаднат на измамния уебсайт от системи, различни от Windows, се пренасочват към дублирана статия от opensource.com, публикувана първоначално през март 2018 г. Освен това потребителите на Windows, които кликват върху връзки за изтегляне, предназначени за Linux или macOS на страницата за изтегляния се пренасочват към официалния уебсайт на законната програма.

Инфекцията със ZenRAT може да има опустошителни последици

Веднъж активиран, ZenRAT събира информация за хост системата, включително тип CPU, модел на GPU, версия на операционната система, идентификационни данни на браузъра и списък с инсталирани приложения и софтуер за сигурност. След това тези данни се изпращат до сървър за командване и управление (C2), управляван от участниците в заплахата, който има IP адрес 185.186.72[.]14.

Клиентът установява комуникация със сървъра C2 и независимо от издадената команда или предадените допълнителни данни, първоначално изпратеният пакет е с размер от 73 байта.

ZenRAT е допълнително конфигуриран да предава своите регистрационни файлове към сървъра в обикновен текст. Тези регистрационни файлове записват поредица от системни проверки, извършени от злонамерения софтуер, и предоставят информация за състоянието на изпълнение на всеки модул. Тази функционалност подчертава ролята му на модулен и разширяем имплант.

Заплашителният софтуер често се разпространява чрез файлове, които се представят за автентични инсталатори на приложения. За крайните потребители е изключително важно да бъдат внимателни, като изтеглят софтуер изключително от реномирани източници и проверяват дали домейните, хостващи изтегляния на софтуер, съвпадат с тези, свързани с официалния уебсайт. Освен това хората трябва да бъдат внимателни, когато срещат реклами в резултатите от търсачките, тъй като това се оказа значителен източник на инфекции от този вид, особено през последната година.