Złośliwe oprogramowanie ZenRAT

W cyfrowym krajobrazie pojawił się nowatorski i budzący obawy wariant złośliwego oprogramowania znany jako ZenRAT. To złośliwe oprogramowanie jest rozpowszechniane poprzez zwodnicze pakiety instalacyjne udające legalne oprogramowanie do zarządzania hasłami. Warto zauważyć, że ZenRAT koncentruje swoje szkodliwe działania przede wszystkim na użytkownikach systemu operacyjnego Windows. Aby odfiltrować ofiary, użytkownicy innych systemów zostaną przekierowani na nieszkodliwe strony internetowe.

Eksperci ds. cyberbezpieczeństwa skrupulatnie zbadali i udokumentowali to pojawiające się zagrożenie w kompleksowym raporcie technicznym. Według ich analizy ZenRAT należy do kategorii modułowych trojanów zdalnego dostępu (RAT). Co więcej, wykazuje zdolność do potajemnego wydobywania poufnych informacji z zainfekowanych urządzeń, zwiększając potencjalne ryzyko, jakie stwarza dla ofiar i organizacji.

ZenRAT udaje legalnego menedżera haseł

ZenRAT jest ukryty w fałszywych witrynach internetowych, fałszywie podszywając się pod legalne aplikacje. Metoda kierowania ruchu do tych zwodniczych domen pozostaje niepewna. Historycznie rzecz biorąc, ta forma złośliwego oprogramowania była rozpowszechniana różnymi sposobami, w tym atakami typu phishing, złośliwe reklamy i zatruwanie SEO.

Ładunek pobrany z Crazygameis(dot)com to zmodyfikowana wersja standardowego pakietu instalacyjnego zawierająca złośliwy plik wykonywalny .NET o nazwie ApplicationRuntimeMonitor.exe.

Intrygującym aspektem tej kampanii jest to, że użytkownicy, którzy przypadkowo trafią na fałszywą witrynę internetową z systemów innych niż Windows, zostaną przekierowani do zduplikowanego artykułu z witryny opensource.com, pierwotnie opublikowanego w marcu 2018 r. Ponadto użytkownicy systemu Windows, którzy klikną łącza pobierania przeznaczone dla systemu Linux lub macOS na stronie Pobieranie są przekierowywane do oficjalnej strony legalnego programu.

Infekcja ZenRAT może mieć druzgocące konsekwencje

Po aktywacji ZenRAT zbiera informacje o systemie hosta, w tym o typie procesora, modelu karty graficznej, wersji systemu operacyjnego, danych uwierzytelniających przeglądarki oraz liście zainstalowanych aplikacji i oprogramowania zabezpieczającego. Dane te są następnie wysyłane do serwera dowodzenia i kontroli (C2) obsługiwanego przez podmioty zagrażające, który ma adres IP 185.186.72[.]14.

Klient nawiązuje komunikację z serwerem C2 i niezależnie od wydanego polecenia lub przesłanych dodatkowych danych, wysyłany pakiet początkowy ma niezmiennie rozmiar 73 bajty.

ZenRAT jest dodatkowo skonfigurowany do przesyłania swoich logów do serwera w postaci zwykłego tekstu. Dzienniki te rejestrują serię kontroli systemu przeprowadzonych przez szkodliwe oprogramowanie i dostarczają informacji o stanie wykonania każdego modułu. Ta funkcjonalność podkreśla jego rolę jako implantu modułowego i rozszerzalnego.

Zagrożone oprogramowanie jest często dystrybuowane za pośrednictwem plików udających autentyczne instalatory aplikacji. Dla konsumentów końcowych niezwykle ważne jest zachowanie ostrożności poprzez pobieranie oprogramowania wyłącznie z renomowanych źródeł i sprawdzanie, czy domeny hostujące pobierane oprogramowanie odpowiadają domenom powiązanym z oficjalną witryną internetową. Ponadto użytkownicy powinni zachować ostrożność w przypadku napotkania reklam w wynikach wyszukiwania, ponieważ reklamy te stały się znaczącym źródłem tego rodzaju infekcji, szczególnie w zeszłym roku.