بدافزار ZenRAT
یک نوع بدافزار جدید و نگران کننده به نام ZenRAT در چشم انداز دیجیتال ظاهر شده است. این بدافزار از طریق بستههای نصب فریبنده که به عنوان نرمافزار مدیریت رمز عبور قانونی ظاهر میشوند، منتشر میشود. شایان ذکر است که ZenRAT در درجه اول فعالیت های مخرب خود را بر روی کاربران سیستم عامل ویندوز متمرکز می کند. برای فیلتر کردن قربانیان، کاربران در سیستم های دیگر به صفحات وب بی ضرر هدایت می شوند.
کارشناسان امنیت سایبری با جدیت این تهدید نوظهور را در یک گزارش فنی جامع بررسی و مستند کرده اند. بر اساس تجزیه و تحلیل آنها، ZenRAT در دسته تروجان های ماژولار دسترسی از راه دور (RAT) قرار می گیرد. علاوه بر این، توانایی استخراج مخفیانه اطلاعات حساس از دستگاه های آلوده را نشان می دهد و خطرات بالقوه ای را که برای قربانیان و سازمان ها ایجاد می کند تشدید می کند.
ZenRAT به عنوان یک مدیر رمز عبور قانونی ظاهر می شود
ZenRAT در وبسایتهای تقلبی پنهان شده است و به دروغ به عنوان وبسایتهایی برای برنامه قانونی معرفی میشود. روشی که توسط آن ترافیک به این دامنه های فریبنده هدایت می شود نامشخص است. از لحاظ تاریخی، این شکل از بدافزار از طریق ابزارهای مختلفی از جمله حملات فیشینگ، تبلیغات بد و مسمومیت SEO منتشر شده است.
محموله بازیابی شده از crazygameis(dot)com یک نسخه دستکاری شده از بسته نصب استاندارد است که دارای یک فایل اجرایی مخرب دات نت به نام ApplicationRuntimeMonitor.exe است.
یکی از جنبههای جالب این کمپین این است که کاربرانی که بهطور ناخواسته وارد وبسایتهای جعلی از سیستمهای غیرویندوزی میشوند، به یک مقاله تکراری از opensource.com هدایت میشوند که در ابتدا در مارس 2018 منتشر شده بود. علاوه بر این، کاربران ویندوز که روی لینکهای دانلود تعیینشده برای لینوکس کلیک میکنند. یا macOS در صفحه دانلودها به وب سایت رسمی برنامه قانونی هدایت می شوند.
عفونت ZenRAT می تواند عواقب مخربی داشته باشد
ZenRAT پس از فعال شدن، اطلاعات مربوط به سیستم میزبان، از جمله نوع CPU، مدل GPU، نسخه سیستم عامل، اعتبار مرورگر، و لیستی از برنامه های کاربردی نصب شده و نرم افزارهای امنیتی را جمع آوری می کند. سپس این داده ها به یک سرور Command-and-Control (C2) ارسال می شود که توسط عوامل تهدید اداره می شود که دارای آدرس IP 185.186.72[.]14 است.
کلاینت با سرور C2 ارتباط برقرار می کند و صرف نظر از دستور صادر شده یا هر داده اضافی ارسال شده، بسته اولیه ارسال شده به طور مداوم 73 بایت اندازه دارد.
ZenRAT علاوه بر این پیکربندی شده است تا گزارش های خود را به صورت متن ساده به سرور منتقل کند. این لاگ ها یک سری بررسی های سیستمی انجام شده توسط بدافزار را ثبت می کنند و اطلاعاتی در مورد وضعیت اجرای هر ماژول ارائه می دهند. این عملکرد نقش آن را به عنوان یک ایمپلنت مدولار و قابل گسترش برجسته می کند.
نرم افزارهای تهدید کننده اغلب از طریق فایل هایی که وانمود می کنند نصب کننده های معتبر برنامه هستند، توزیع می شود. برای مصرف کنندگان نهایی بسیار مهم است که با دانلود انحصاری نرم افزار از منابع معتبر و بررسی اینکه دامنه های میزبان دانلود نرم افزار با دامنه های مرتبط با وب سایت رسمی مطابقت دارند، احتیاط کنند. علاوه بر این، افراد باید هنگام مواجهه با تبلیغات در نتایج موتورهای جستجو احتیاط کنند، زیرا این امر به عنوان منبع مهمی از این نوع عفونت ها به ویژه در سال گذشته ظاهر شده است.