ZenRAT pahavara

Digitaalmaastikul on esile kerkinud uudne ja murettekitav pahavara variant, mida tuntakse ZenRATi nime all. Seda pahavara levitatakse eksitavate installipakettide kaudu, mis maskeeritakse seadusliku paroolihalduri tarkvarana. Väärib märkimist, et ZenRAT keskendub oma pahatahtlikud tegevused eelkõige Windowsi operatsioonisüsteemi kasutajatele. Selle ohvrite välja filtreerimiseks suunatakse teiste süsteemide kasutajad kahjututele veebilehtedele.

Küberturvalisuse eksperdid on seda tekkivat ohtu hoolikalt uurinud ja dokumenteerinud põhjaliku tehnilise aruandega. Nende analüüsi kohaselt kuulub ZenRAT modulaarsete kaugjuurdepääsu troojalaste (RAT) kategooriasse. Lisaks on sellel võime nakatunud seadmetest tundlikku teavet vargsi välja filtreerida, suurendades sellega ohvritele ja organisatsioonidele tulenevaid võimalikke riske.

ZenRAT on õigustatud paroolihaldur

ZenRAT on võltsitud veebisaitide sees peidetud, näidates end ekslikult seadusliku rakenduse veebisaidina. Meetod, mille abil liiklus nendesse petlikesse domeenidesse suunatakse, on endiselt ebakindel. Ajalooliselt on seda tüüpi pahavara levitatud erinevatel viisidel, sealhulgas andmepüügi, pahatahtliku reklaami ja SEO mürgistusrünnakute kaudu.

Saidilt crazygameis(dot)com hangitud kasulik koormus on standardse installipaketi rikutud versioon, mis sisaldab pahatahtlikku .NET-i käivitatavat faili nimega ApplicationRuntimeMonitor.exe.

Selle kampaania intrigeeriv aspekt on see, et kasutajad, kes satuvad kogemata petturlikule veebisaidile mitte-Windowsi süsteemidest, suunatakse saidi opensource.com dubleeritud artiklile, mis avaldati algselt märtsis 2018. Lisaks sellele Windowsi kasutajad, kes klõpsavad Linuxi jaoks mõeldud allalaadimislinkidel. või macOS lehel Allalaadimised suunatakse ümber seadusliku programmi ametlikule veebisaidile.

ZenRAT-i infektsioonil võivad olla laastavad tagajärjed

Pärast aktiveerimist kogub ZenRAT teavet hostsüsteemi kohta, sealhulgas protsessori tüübi, GPU mudeli, operatsioonisüsteemi versiooni, brauseri mandaadid ning installitud rakenduste ja turvatarkvara loendi. Seejärel saadetakse need andmed käsu- ja juhtimisserverisse (C2), mida haldavad ohus osalejad ja mille IP-aadress on 185.186.72[.]14.

Klient loob side C2-serveriga ja olenemata antud käsust või edastatud täiendavatest andmetest on saadetud esialgne pakett pidevalt 73 baiti suur.

ZenRAT on lisaks konfigureeritud edastama oma logisid serverisse lihttekstina. Need logid salvestavad pahavara tehtud süsteemikontrollide jada ja annavad teavet iga mooduli täitmise oleku kohta. See funktsioon tõstab esile selle rolli modulaarse ja laiendatava implantaadina.

Ähvardavat tarkvara levitatakse sageli failide kaudu, mis teesklevad autentsete rakenduste installijatena. Lõplike tarbijate jaoks on ülioluline olla ettevaatlik, laadides tarkvara alla ainult usaldusväärsetest allikatest ja kontrollides, et tarkvara allalaadimist hostivad domeenid vastavad ametliku veebisaidiga seotud domeenidele. Lisaks peaksid inimesed olema otsingumootori tulemustes reklaamidega kokku puutudes ettevaatlikud, kuna see on eriti viimase aasta jooksul esile kerkinud seda tüüpi nakkuste olulise allikana.