ZenRAT Malware

Nova i zabrinjavajuća varijanta zlonamjernog softvera poznata kao ZenRAT pojavila se u digitalnom krajoliku. Ovaj se zlonamjerni softver širi putem obmanjujućih instalacijskih paketa maskiranih kao legitiman softver za upravljanje lozinkama. Vrijedno je napomenuti da ZenRAT prvenstveno fokusira svoje zlonamjerne aktivnosti na korisnike Windows operativnog sustava. Kako bi filtrirali svoje žrtve, korisnici na drugim sustavima bit će preusmjereni na bezopasne web stranice.

Stručnjaci za kibernetičku sigurnost marljivo su ispitali i dokumentirali ovu prijetnju u nastajanju u opsežnom tehničkom izvješću. Prema njihovoj analizi, ZenRAT spada u kategoriju modularnih trojanaca za udaljeni pristup (RAT). Štoviše, pokazuje sposobnost tajnog izvlačenja osjetljivih informacija iz zaraženih uređaja, povećavajući potencijalne rizike koje predstavlja za žrtve i organizacije.

ZenRAT se predstavlja kao legitimni upravitelj lozinki

ZenRAT je skriven unutar krivotvorenih web stranica, lažno se predstavljajući kao one za legitimnu aplikaciju. Metoda kojom se promet usmjerava na ove varljive domene ostaje neizvjesna. Povijesno gledano, ovaj oblik zlonamjernog softvera širio se na različite načine, uključujući krađu identiteta, zlonamjerno oglašavanje i napade trovanja SEO-om.

Korisni teret dohvaćen s crazygameis(dot)com je neovlaštena verzija standardnog instalacijskog paketa, koja sadrži zlonamjernu .NET izvršnu datoteku pod nazivom ApplicationRuntimeMonitor.exe.

Intrigantan aspekt ove kampanje je da korisnici koji nenamjerno dospiju na lažnu web stranicu sa sustava koji nisu Windows bivaju preusmjereni na duplicirani članak s opensource.com, izvorno objavljen u ožujku 2018. Nadalje, korisnici Windowsa koji kliknu na poveznice za preuzimanje namijenjene za Linux ili macOS na stranici Preuzimanja preusmjeravaju se na službenu web stranicu legitimnog programa.

Infekcija ZenRAT-om može imati razorne posljedice

Nakon što se aktivira, ZenRAT prikuplja informacije o glavnom sustavu, uključujući tip CPU-a, GPU model, verziju operativnog sustava, vjerodajnice preglednika i popis instaliranih aplikacija i sigurnosnog softvera. Ovi se podaci zatim šalju Command-and-Control (C2) poslužitelju kojim upravljaju akteri prijetnji, a koji ima IP adresu 185.186.72[.]14.

Klijent uspostavlja komunikaciju s C2 poslužiteljem i bez obzira na izdanu naredbu ili bilo kakve dodatne podatke poslane, početni paket koji se šalje dosljedno je veličine 73 bajta.

ZenRAT je dodatno konfiguriran za prijenos svojih zapisa na poslužitelj u obliku običnog teksta. Ovi zapisnici bilježe niz provjera sustava koje izvodi zlonamjerni softver i pružaju informacije o statusu izvršavanja svakog modula. Ova funkcionalnost naglašava njegovu ulogu modularnog i proširivog implantata.

Prijeteći softver često se distribuira putem datoteka koje se pretvaraju da su autentični instalacijski programi. Za krajnje je potrošače ključno da budu oprezni preuzimajući softver isključivo iz renomiranih izvora i provjeravajući podudaraju li se domene za preuzimanje softvera s onima povezanima sa službenim web mjestom. Osim toga, pojedinci bi trebali biti oprezni kada se susreću s oglasima u rezultatima tražilice, budući da se to pokazalo kao značajan izvor infekcija ove vrste, osobito u posljednjih godinu dana.