ZenRAT skadelig programvare

En ny og bekymrende malware-variant kjent som ZenRAT har dukket opp i det digitale landskapet. Denne skadelige programvaren spres gjennom villedende installasjonspakker som er maskert som legitim programvare for passordbehandling. Det er verdt å merke seg at ZenRAT først og fremst fokuserer sine ondsinnede aktiviteter på brukere av Windows-operativsystem. For å filtrere ut ofrene, vil brukere på andre systemer bli omdirigert til ufarlige nettsider.

Eksperter på nettsikkerhet har flittig undersøkt og dokumentert denne nye trusselen i en omfattende teknisk rapport. I følge deres analyse faller ZenRAT inn i kategorien modulære Remote Access-trojanere (RAT). Dessuten viser den evnen til å snike ut sensitiv informasjon fra infiserte enheter, og forsterke den potensielle risikoen den utgjør for ofre og organisasjoner.

ZenRAT poserer som en legitim passordbehandler

ZenRAT er skjult på forfalskede nettsteder, og utgir seg feilaktig som de for den legitime applikasjonen. Metoden for å lede trafikk til disse villedende domenene er fortsatt usikker. Historisk sett har denne formen for skadelig programvare blitt spredt på en rekke måter, inkludert phishing, malvertising og SEO-forgiftningsangrep.

Nyttelasten hentet fra crazygameis(dot)com er en manipulert versjon av standard installasjonspakken, som inneholder en ondsinnet .NET-kjørbar fil kalt ApplicationRuntimeMonitor.exe.

Et spennende aspekt ved denne kampanjen er at brukere som utilsiktet lander på den uredelige nettsiden fra ikke-Windows-systemer, blir omdirigert til en duplisert artikkel fra opensource.com, opprinnelig publisert i mars 2018. Videre Windows-brukere som klikker på nedlastingslenker beregnet for Linux eller macOS på nedlastingssiden blir omdirigert til det offisielle nettstedet til det legitime programmet.

En ZenRAT-infeksjon kan ha ødeleggende konsekvenser

Når den er aktivert, samler ZenRAT inn informasjon om vertssystemet, inkludert CPU-type, GPU-modell, operativsystemversjon, nettleserlegitimasjon og en liste over installerte applikasjoner og sikkerhetsprogramvare. Disse dataene sendes deretter til en Command-and-Control-server (C2) som drives av trusselaktørene, som har IP-adressen 185.186.72[.]14.

Klienten etablerer kommunikasjon med C2-serveren, og uavhengig av kommandoen som gis eller eventuelle ekstra data som sendes, er den første pakken som sendes konsekvent 73 byte stor.

ZenRAT er i tillegg konfigurert til å overføre sine logger til serveren i ren tekst. Disse loggene registrerer en rekke systemkontroller utført av skadelig programvare og gir informasjon om statusen for utførelsen av hver modul. Denne funksjonaliteten fremhever rollen som et modulært og utvidbart implantat.

Truende programvare distribueres ofte gjennom filer som utgir seg for å være autentiske applikasjonsinstallatører. Det er avgjørende for ultimate forbrukere å utvise forsiktighet ved utelukkende å laste ned programvare fra anerkjente kilder og verifisere at domenene som er vert for programvarenedlastinger samsvarer med de som er knyttet til det offisielle nettstedet. I tillegg bør enkeltpersoner utvise forsiktighet når de møter annonser i søkemotorresultater, siden dette har dukket opp som en betydelig kilde til infeksjoner av denne typen, spesielt det siste året.