ZenRAT Malware

A ZenRAT néven ismert rosszindulatú szoftver új és aggasztó változata jelent meg a digitális környezetben. Ezt a rosszindulatú programot megtévesztő telepítőcsomagokon keresztül terjesztik, amelyek legitim jelszókezelő szoftvernek álcázzák magukat. Érdemes megjegyezni, hogy a ZenRAT rosszindulatú tevékenységeit elsősorban a Windows operációs rendszer felhasználóira összpontosítja. Az áldozatok kiszűrése érdekében a más rendszerek felhasználóit átirányítják az ártalmatlan weboldalakra.

A kiberbiztonsági szakértők szorgalmasan megvizsgálták és egy átfogó technikai jelentésben dokumentálták ezt a felmerülő fenyegetést. Elemzésük szerint a ZenRAT a moduláris távelérési trójaiak (RAT) kategóriájába tartozik. Ezen túlmenően képes arra, hogy érzékeny információkat lopva kiszűrjön a fertőzött eszközökről, fokozva az áldozatok és szervezetek számára jelentett potenciális kockázatokat.

A ZenRAT törvényes jelszókezelőnek tűnik

A ZenRAT el van rejtve a hamisított webhelyeken, és hamisan a legális alkalmazás webhelyének adja ki magát. Továbbra is bizonytalan, hogy milyen módszerrel irányítják a forgalmat ezekre a megtévesztő tartományokra. Történelmileg a rosszindulatú programok e formáját számos módon terjesztették, beleértve az adathalászatot, a rosszindulatú hirdetéseket és a SEO-mérgezést okozó támadásokat.

A crazygameis(dot)com webhelyről letöltött hasznos adat a szabványos telepítőcsomag manipulált változata, amely egy ApplicationRuntimeMonitor.exe nevű rosszindulatú .NET végrehajtható fájlt tartalmaz.

A kampány érdekes aspektusa, hogy azok a felhasználók, akik véletlenül nem Windows rendszerről landolnak a csaló webhelyen, átirányításra kerülnek az opensource.com webhelyről egy duplikált cikkre, amelyet eredetileg 2018 márciusában tettek közzé. Ezen túlmenően, azok a Windows-felhasználók, akik a Linux számára kijelölt letöltési hivatkozásokra kattintanak vagy macOS a Letöltések oldalon átirányítják a legális program hivatalos webhelyére.

A ZenRAT fertőzésnek pusztító következményei lehetnek

Az aktiválás után a ZenRAT információkat gyűjt a gazdagépről, beleértve a CPU típusát, a GPU modelljét, az operációs rendszer verzióját, a böngésző hitelesítő adatait, valamint a telepített alkalmazások és biztonsági szoftverek listáját. Ezeket az adatokat ezután a fenyegetés szereplői által üzemeltetett Command-and-Control (C2) szerverre küldik, amelynek IP-címe 185.186.72[.]14.

A kliens kommunikációt létesít a C2 szerverrel, és függetlenül a kiadott parancstól vagy bármilyen további adatátviteltől, az elküldött kezdeti csomag folyamatosan 73 bájt méretű.

A ZenRAT ezenkívül úgy van beállítva, hogy naplóit egyszerű szövegben továbbítsa a szervernek. Ezek a naplók a kártevő által végrehajtott rendszerellenőrzések sorozatát rögzítik, és információkat adnak az egyes modulok végrehajtásának állapotáról. Ez a funkció kiemeli a moduláris és bővíthető implantátum szerepét.

A fenyegető szoftvereket gyakran olyan fájlokon keresztül terjesztik, amelyek úgy tesznek, mintha hiteles alkalmazástelepítők lennének. Alapvető fontosságú, hogy a végső fogyasztók körültekintően járjanak el, kizárólag megbízható forrásból töltsenek le szoftvert, és ellenőrizzék, hogy a szoftverletöltéseket tároló domainek megegyeznek-e a hivatalos webhelyhez tartozó domainekkel. Ezenkívül az egyéneknek óvatosnak kell lenniük, amikor hirdetésekkel találkoznak a keresőmotorok találatai között, mivel ez az ilyen típusú fertőzések jelentős forrásává vált, különösen az elmúlt évben.