ZenRAT Malware

En ny og bekymrende malware-variant kendt som ZenRAT er dukket op i det digitale landskab. Denne malware spredes gennem vildledende installationspakker, der forklæder sig som legitim adgangskodehåndteringssoftware. Det er værd at bemærke, at ZenRAT primært fokuserer sine ondsindede aktiviteter på Windows-operativsystembrugere. For at bortfiltrere dets ofre vil brugere på andre systemer blive omdirigeret til harmløse websider.

Cybersikkerhedseksperter har flittigt undersøgt og dokumenteret denne nye trussel i en omfattende teknisk rapport. Ifølge deres analyse falder ZenRAT ind i kategorien af modulære Remote Access-trojanske heste (RAT'er). Desuden udviser det evnen til snigende at udslette følsom information fra inficerede enheder, hvilket intensiverer de potentielle risici, det udgør for ofre og organisationer.

ZenRAT poserer som en legitim adgangskodeadministrator

ZenRAT er skjult på forfalskede websteder, der fejlagtigt udgiver sig for at være dem for den legitime applikation. Metoden, hvormed trafik ledes til disse vildledende domæner, er fortsat usikker. Historisk set er denne form for malware blevet spredt på en række forskellige måder, herunder phishing, malvertising og SEO-forgiftningsangreb.

Nyttelasten hentet fra crazygameis(dot)com er en manipuleret version af standardinstallationspakken, der rummer en ondsindet .NET-eksekverbar fil ved navn ApplicationRuntimeMonitor.exe.

Et spændende aspekt af denne kampagne er, at brugere, der utilsigtet lander på den svigagtige hjemmeside fra ikke-Windows-systemer, bliver omdirigeret til en duplikeret artikel fra opensource.com, der oprindeligt blev offentliggjort i marts 2018. Desuden Windows-brugere, der klikker på download-links, der er beregnet til Linux eller macOS på siden Downloads omdirigeres til den officielle hjemmeside for det lovlige program.

En ZenRAT-infektion kan have ødelæggende konsekvenser

Når den er aktiveret, indsamler ZenRAT oplysninger om værtssystemet, herunder CPU-type, GPU-model, operativsystemversion, browserlegitimationsoplysninger og en liste over installerede applikationer og sikkerhedssoftware. Disse data sendes derefter til en Command-and-Control-server (C2) drevet af trusselsaktørerne, som har IP-adressen 185.186.72[.]14.

Klienten etablerer kommunikation med C2-serveren, og uanset den udstedte kommando eller eventuelle yderligere data, der sendes, er den indledende pakke, der sendes, konsekvent 73 bytes stor.

ZenRAT er desuden konfigureret til at sende sine logfiler til serveren i almindelig tekst. Disse logfiler registrerer en række systemtjek udført af malwaren og giver information om status for udførelsen af hvert modul. Denne funktionalitet fremhæver dens rolle som et modulært og udvideligt implantat.

Truende software distribueres ofte gennem filer, der foregiver at være autentiske applikationsinstallatører. Det er afgørende for ultimative forbrugere at udvise forsigtighed ved udelukkende at downloade software fra velrenommerede kilder og kontrollere, at domænerne, der hoster softwaredownloads, matcher dem, der er forbundet med det officielle websted. Derudover bør enkeltpersoner udvise forsigtighed, når de støder på annoncer i søgemaskineresultater, da dette har vist sig som en væsentlig kilde til infektioner af denne art, især i det seneste år.