Programari maliciós ZenRAT

Una nova i preocupant variant de programari maliciós coneguda com ZenRAT ha aparegut al panorama digital. Aquest programari maliciós s'està difós mitjançant paquets d'instal·lació enganyosos que es dissimulen com un programari legítim de gestió de contrasenyes. Val la pena assenyalar que ZenRAT centra principalment les seves activitats malicioses en els usuaris del sistema operatiu Windows. Per filtrar les seves víctimes, els usuaris d'altres sistemes seran redirigits a pàgines web inofensives.

Els experts en ciberseguretat han examinat i documentat diligentment aquesta amenaça emergent en un informe tècnic complet. Segons la seva anàlisi, ZenRAT entra a la categoria de troians modulars d'accés remot (RAT). A més, mostra la capacitat d'exfiltrar furtivament informació confidencial dels dispositius infectats, intensificant els riscos potencials que suposa per a les víctimes i les organitzacions.

ZenRAT es presenta com a gestor de contrasenyes legítim

ZenRAT s'amaga dins de llocs web falsificats, fent-se passar falsament com els de l'aplicació legítima. El mètode mitjançant el qual el trànsit es canalitza a aquests dominis enganyosos segueix sent incert. Històricament, aquesta forma de programari maliciós s'ha difós a través d'una varietat de mitjans, com ara atacs de pesca, publicitat maliciosa i enverinament de SEO.

La càrrega útil recuperada de crazygameis(dot)com és una versió manipulada del paquet d'instal·lació estàndard, que alberga un executable .NET maliciós anomenat ApplicationRuntimeMonitor.exe.

Un aspecte intrigant d'aquesta campanya és que els usuaris que aterren sense voler al lloc web fraudulent des de sistemes que no són Windows són redirigits a un article duplicat d'opensource.com, publicat originalment el març de 2018. A més, els usuaris de Windows que fan clic als enllaços de descàrrega designats per a Linux o macOS a la pàgina de descàrregues es redirigeix al lloc web oficial del programa legítim.

Una infecció per ZenRAT pot tenir conseqüències devastadores

Un cop activat, ZenRAT recopila informació sobre el sistema amfitrió, inclòs el tipus de CPU, el model de GPU, la versió del sistema operatiu, les credencials del navegador i una llista d'aplicacions instal·lades i programari de seguretat. A continuació, aquestes dades s'envien a un servidor d'ordres i control (C2) gestionat pels actors de l'amenaça, que té l'adreça IP 185.186.72[.]14.

El client estableix la comunicació amb el servidor C2 i, independentment de l'ordre emesa o qualsevol dada addicional transmesa, el paquet inicial enviat té una mida constant de 73 bytes.

ZenRAT també està configurat per transmetre els seus registres al servidor en text sense format. Aquests registres registren una sèrie de comprovacions del sistema realitzades pel programari maliciós i proporcionen informació sobre l'estat de l'execució de cada mòdul. Aquesta funcionalitat destaca el seu paper com a implant modular i ampliable.

El programari amenaçador es distribueix amb freqüència mitjançant fitxers que pretenen ser instal·ladors d'aplicacions autèntics. És fonamental que els consumidors finals tinguin precaució baixant exclusivament programari de fonts acreditades i verificant que els dominis que allotgen les baixades de programari coincideixen amb els associats al lloc web oficial. A més, les persones haurien de tenir precaució quan es trobin amb anuncis als resultats dels motors de cerca, ja que això s'ha convertit en una font important d'infeccions d'aquest tipus, especialment durant l'últim any.