Perisian Hasad ZenRAT

Satu novel dan varian perisian berniat jahat yang dikenali sebagai ZenRAT telah muncul dalam landskap digital. Malware ini disebarkan melalui pakej pemasangan yang menipu yang menyamar sebagai perisian pengurus kata laluan yang sah. Perlu diingat bahawa ZenRAT memfokuskan aktiviti jahatnya pada pengguna sistem pengendalian Windows. Untuk menapis mangsanya, pengguna pada sistem lain akan dihalakan semula ke halaman Web yang tidak berbahaya.

Pakar keselamatan siber telah meneliti dan mendokumentasikan ancaman yang muncul ini dengan teliti dalam laporan teknikal yang komprehensif. Menurut analisis mereka, ZenRAT termasuk dalam kategori trojan Akses Jauh (RAT) modular. Selain itu, ia mempamerkan keupayaan untuk mengeluarkan maklumat sensitif secara senyap-senyap daripada peranti yang dijangkiti, meningkatkan potensi risiko yang ditimbulkannya kepada mangsa dan organisasi.

ZenRAT Menyamar sebagai Pengurus Kata Laluan yang Sah

ZenRAT disembunyikan dalam laman web palsu, secara palsu menyamar sebagai laman web yang sah. Kaedah trafik disalurkan ke domain menipu ini masih tidak pasti. Dari segi sejarah, bentuk perisian hasad ini telah disebarkan melalui pelbagai cara, termasuk pancingan data, penyelewengan dan serangan keracunan SEO.

Muatan yang diperoleh daripada crazygameis(dot)com ialah versi pakej pemasangan standard yang diusik, yang mengandungi boleh laku .NET berniat jahat bernama ApplicationRuntimeMonitor.exe.

Aspek yang menarik dalam kempen ini ialah pengguna yang secara tidak sengaja mendarat di tapak web penipuan daripada sistem bukan Windows akan diubah hala ke artikel pendua daripada opensource.com, yang asalnya diterbitkan pada Mac 2018. Tambahan pula, pengguna Windows yang mengklik pada pautan muat turun yang ditetapkan untuk Linux atau macOS pada halaman Muat Turun dihalakan semula ke tapak web rasmi program yang sah.

Jangkitan ZenRAT boleh membawa akibat yang memusnahkan

Setelah diaktifkan, ZenRAT mengumpul maklumat tentang sistem hos, termasuk jenis CPU, model GPU, versi sistem pengendalian, bukti kelayakan penyemak imbas dan senarai aplikasi yang dipasang serta perisian keselamatan. Data ini kemudiannya dihantar ke pelayan Command-and-Control (C2) yang dikendalikan oleh pelaku ancaman, yang mempunyai alamat IP 185.186.72[.]14.

Pelanggan mewujudkan komunikasi dengan pelayan C2, dan tanpa mengira arahan yang dikeluarkan atau sebarang data tambahan yang dihantar, paket awal yang dihantar secara konsisten bersaiz 73 bait.

ZenRAT juga dikonfigurasikan untuk menghantar lognya ke pelayan dalam teks biasa. Log ini merekodkan satu siri semakan sistem yang dilakukan oleh perisian hasad dan memberikan maklumat tentang status pelaksanaan setiap modul. Fungsi ini menyerlahkan peranannya sebagai implan modular dan boleh dikembangkan.

Perisian mengancam sering diedarkan melalui fail yang berpura-pura sebagai pemasang aplikasi yang sahih. Adalah penting bagi pengguna muktamad untuk berhati-hati dengan memuat turun perisian secara eksklusif daripada sumber bereputasi dan mengesahkan bahawa muat turun perisian pengehosan domain sepadan dengan yang dikaitkan dengan tapak web rasmi. Selain itu, individu harus berhati-hati apabila menemui iklan dalam hasil carian enjin, kerana ini telah muncul sebagai sumber jangkitan yang ketara seperti ini, terutamanya pada tahun lalu.