بدافزار ZenRAT

یک نوع بدافزار جدید و نگران کننده به نام ZenRAT در چشم انداز دیجیتال ظاهر شده است. این بدافزار از طریق بسته‌های نصب فریبنده که به عنوان نرم‌افزار مدیریت رمز عبور قانونی ظاهر می‌شوند، منتشر می‌شود. شایان ذکر است که ZenRAT در درجه اول فعالیت های مخرب خود را بر روی کاربران سیستم عامل ویندوز متمرکز می کند. برای فیلتر کردن قربانیان، کاربران در سیستم های دیگر به صفحات وب بی ضرر هدایت می شوند.

کارشناسان امنیت سایبری با جدیت این تهدید نوظهور را در یک گزارش فنی جامع بررسی و مستند کرده اند. بر اساس تجزیه و تحلیل آنها، ZenRAT در دسته تروجان های ماژولار دسترسی از راه دور (RAT) قرار می گیرد. علاوه بر این، توانایی استخراج مخفیانه اطلاعات حساس از دستگاه های آلوده را نشان می دهد و خطرات بالقوه ای را که برای قربانیان و سازمان ها ایجاد می کند تشدید می کند.

ZenRAT به عنوان یک مدیر رمز عبور قانونی ظاهر می شود

ZenRAT در وب‌سایت‌های تقلبی پنهان شده است و به دروغ به عنوان وب‌سایت‌هایی برای برنامه قانونی معرفی می‌شود. روشی که توسط آن ترافیک به این دامنه های فریبنده هدایت می شود نامشخص است. از لحاظ تاریخی، این شکل از بدافزار از طریق ابزارهای مختلفی از جمله حملات فیشینگ، تبلیغات بد و مسمومیت SEO منتشر شده است.

محموله بازیابی شده از crazygameis(dot)com یک نسخه دستکاری شده از بسته نصب استاندارد است که دارای یک فایل اجرایی مخرب دات نت به نام ApplicationRuntimeMonitor.exe است.

یکی از جنبه‌های جالب این کمپین این است که کاربرانی که به‌طور ناخواسته وارد وب‌سایت‌های جعلی از سیستم‌های غیرویندوزی می‌شوند، به یک مقاله تکراری از opensource.com هدایت می‌شوند که در ابتدا در مارس 2018 منتشر شده بود. علاوه بر این، کاربران ویندوز که روی لینک‌های دانلود تعیین‌شده برای لینوکس کلیک می‌کنند. یا macOS در صفحه دانلودها به وب سایت رسمی برنامه قانونی هدایت می شوند.

عفونت ZenRAT می تواند عواقب مخربی داشته باشد

ZenRAT پس از فعال شدن، اطلاعات مربوط به سیستم میزبان، از جمله نوع CPU، مدل GPU، نسخه سیستم عامل، اعتبار مرورگر، و لیستی از برنامه های کاربردی نصب شده و نرم افزارهای امنیتی را جمع آوری می کند. سپس این داده ها به یک سرور Command-and-Control (C2) ارسال می شود که توسط عوامل تهدید اداره می شود که دارای آدرس IP 185.186.72[.]14 است.

کلاینت با سرور C2 ارتباط برقرار می کند و صرف نظر از دستور صادر شده یا هر داده اضافی ارسال شده، بسته اولیه ارسال شده به طور مداوم 73 بایت اندازه دارد.

ZenRAT علاوه بر این پیکربندی شده است تا گزارش های خود را به صورت متن ساده به سرور منتقل کند. این لاگ ها یک سری بررسی های سیستمی انجام شده توسط بدافزار را ثبت می کنند و اطلاعاتی در مورد وضعیت اجرای هر ماژول ارائه می دهند. این عملکرد نقش آن را به عنوان یک ایمپلنت مدولار و قابل گسترش برجسته می کند.

نرم افزارهای تهدید کننده اغلب از طریق فایل هایی که وانمود می کنند نصب کننده های معتبر برنامه هستند، توزیع می شود. برای مصرف کنندگان نهایی بسیار مهم است که با دانلود انحصاری نرم افزار از منابع معتبر و بررسی اینکه دامنه های میزبان دانلود نرم افزار با دامنه های مرتبط با وب سایت رسمی مطابقت دارند، احتیاط کنند. علاوه بر این، افراد باید هنگام مواجهه با تبلیغات در نتایج موتورهای جستجو احتیاط کنند، زیرا این امر به عنوان منبع مهمی از این نوع عفونت ها به ویژه در سال گذشته ظاهر شده است.