Κακόβουλο λογισμικό ZenRAT

Μια νέα και ενδιαφέρουσα παραλλαγή κακόβουλου λογισμικού γνωστή ως ZenRAT εμφανίστηκε στο ψηφιακό τοπίο. Αυτό το κακόβουλο λογισμικό διαδίδεται μέσω παραπλανητικών πακέτων εγκατάστασης που μεταμφιέζονται ως νόμιμο λογισμικό διαχείρισης κωδικών πρόσβασης. Αξίζει να σημειωθεί ότι το ZenRAT εστιάζει πρωτίστως τις κακόβουλες δραστηριότητές του στους χρήστες του λειτουργικού συστήματος Windows. Για να φιλτράρει τα θύματά του, οι χρήστες σε άλλα συστήματα θα αναδρομολογηθούν σε αβλαβείς ιστοσελίδες.

Οι ειδικοί στον τομέα της κυβερνοασφάλειας εξέτασαν επιμελώς και τεκμηρίωσαν αυτήν την αναδυόμενη απειλή σε μια ολοκληρωμένη τεχνική έκθεση. Σύμφωνα με την ανάλυσή τους, το ZenRAT εμπίπτει στην κατηγορία των αρθρωτών trojans Remote Access (RAT). Επιπλέον, επιδεικνύει την ικανότητα να εκμεταλλεύεται κρυφά ευαίσθητες πληροφορίες από μολυσμένες συσκευές, εντείνοντας τους πιθανούς κινδύνους που ενέχει για τα θύματα και τους οργανισμούς.

Το ZenRAT θέτει ως νόμιμο διαχειριστή κωδικών πρόσβασης

Το ZenRAT είναι κρυμμένο σε πλαστές ιστοσελίδες, παριστάνοντας ψευδώς ως εκείνες για τη νόμιμη εφαρμογή. Η μέθοδος με την οποία διοχετεύεται η κυκλοφορία σε αυτούς τους παραπλανητικούς τομείς παραμένει αβέβαιη. Ιστορικά, αυτή η μορφή κακόβουλου λογισμικού έχει διαδοθεί με ποικίλα μέσα, συμπεριλαμβανομένων των επιθέσεων phishing, κακόβουλης διαφήμισης και δηλητηρίασης SEO.

Το ωφέλιμο φορτίο που ανακτήθηκε από το crazygameis(dot)com είναι μια παραποιημένη έκδοση του τυπικού πακέτου εγκατάστασης, που φιλοξενεί ένα κακόβουλο εκτελέσιμο αρχείο .NET με το όνομα ApplicationRuntimeMonitor.exe.

Μια ενδιαφέρουσα πτυχή αυτής της καμπάνιας είναι ότι οι χρήστες που προσγειώνονται κατά λάθος στον δόλιο ιστότοπο από συστήματα που δεν είναι Windows, ανακατευθύνονται σε ένα διπλό άρθρο από το opensource.com, το οποίο δημοσιεύθηκε αρχικά τον Μάρτιο του 2018. Επιπλέον, οι χρήστες Windows που κάνουν κλικ σε συνδέσμους λήψης που προορίζονται για Linux ή το macOS στη σελίδα Λήψεις αναδρομολογούνται στον επίσημο ιστότοπο του νόμιμου προγράμματος.

Μια μόλυνση ZenRAT μπορεί να έχει καταστροφικές συνέπειες

Μόλις ενεργοποιηθεί, το ZenRAT συλλέγει πληροφορίες σχετικά με το κεντρικό σύστημα, συμπεριλαμβανομένου του τύπου CPU, του μοντέλου GPU, της έκδοσης του λειτουργικού συστήματος, των διαπιστευτηρίων του προγράμματος περιήγησης και μιας λίστας εγκατεστημένων εφαρμογών και λογισμικού ασφαλείας. Στη συνέχεια, αυτά τα δεδομένα αποστέλλονται σε διακομιστή Command-and-Control (C2) που λειτουργεί από τους φορείς απειλών, ο οποίος έχει τη διεύθυνση IP 185.186.72[.]14.

Ο πελάτης δημιουργεί επικοινωνία με τον διακομιστή C2 και ανεξάρτητα από την εντολή που εκδόθηκε ή τυχόν πρόσθετα δεδομένα που μεταδίδονται, το αρχικό πακέτο που αποστέλλεται έχει σταθερά μέγεθος 73 byte.

Το ZenRAT έχει επιπλέον ρυθμιστεί για να μεταδίδει τα αρχεία καταγραφής του στον διακομιστή σε απλό κείμενο. Αυτά τα αρχεία καταγραφής καταγράφουν μια σειρά ελέγχων συστήματος που εκτελούνται από το κακόβουλο λογισμικό και παρέχουν πληροφορίες σχετικά με την κατάσταση της εκτέλεσης κάθε λειτουργικής μονάδας. Αυτή η λειτουργικότητα υπογραμμίζει τον ρόλο του ως αρθρωτού και επεκτάσιμου εμφυτεύματος.

Το απειλητικό λογισμικό διανέμεται συχνά μέσω αρχείων που προσποιούνται ότι είναι αυθεντικά προγράμματα εγκατάστασης εφαρμογών. Είναι σημαντικό για τους τελικούς καταναλωτές να είναι προσεκτικοί, κατεβάζοντας αποκλειστικά λογισμικό από αξιόπιστες πηγές και επαληθεύοντας ότι οι τομείς που φιλοξενούν λήψεις λογισμικού αντιστοιχούν σε αυτούς που σχετίζονται με τον επίσημο ιστότοπο. Επιπλέον, τα άτομα θα πρέπει να είναι προσεκτικά όταν αντιμετωπίζουν διαφημίσεις στα αποτελέσματα των μηχανών αναζήτησης, καθώς αυτό έχει αναδειχθεί ως σημαντική πηγή μολύνσεων αυτού του είδους, ιδιαίτερα τον περασμένο χρόνο.