ZenRAT Malware

Uma nova e preocupante variante de malware conhecida como ZenRAT surgiu no cenário digital. Esse malware está sendo disseminado por meio de pacotes de instalação enganosos, disfarçados de software gerenciador de senhas legítimo. É importante notar que o ZenRAT concentra suas atividades maliciosas principalmente nos usuários do sistema operacional Windows. Para filtrar suas vítimas, os usuários de outros sistemas serão redirecionados para páginas da Web inofensivas.

Os especialistas em segurança cibernética examinaram e documentaram diligentemente esta ameaça emergente num relatório técnico abrangente. De acordo com a análise deles, o ZenRAT se enquadra na categoria de trojans modulares de acesso remoto (RATs). Além disso, exibe a capacidade de exfiltrar furtivamente informações confidenciais de dispositivos infectados, intensificando os riscos potenciais que representa para vítimas e organizações.

O ZenRAT Se Apresenta como um Gerenciador de Senhas Legítimo

O ZenRAT está oculto em sites falsificados, fazendo-se passar falsamente por aplicativos legítimos. O método pelo qual o tráfego é canalizado para esses domínios enganosos permanece incerto. Historicamente, essa forma de malware tem sido disseminada por diversos meios, incluindo ataques de phishing, malvertising e envenenamento de SEO.

A carga recuperada de crazygameis(dot)com é uma versão adulterada do pacote de instalação padrão, abrigando um executável .NET malicioso chamado ApplicationRuntimeMonitor.exe.

Um aspecto intrigante desta campanha é que os usuários que acessam inadvertidamente o site fraudulento a partir de sistemas não Windows são redirecionados para um artigo duplicado do opensource.com, publicado originalmente em março de 2018. Além disso, os usuários do Windows que clicam em links de download designados para Linux ou macOS na página de Downloads são redirecionados para o site oficial do programa legítimo.

Uma Infecção pelo ZenRAT pode Ter Consequências Devastadoras

Uma vez ativado, o ZenRAT coleta informações sobre o sistema host, incluindo tipo de CPU, modelo de GPU, versão do sistema operacional, credenciais do navegador e uma lista de aplicativos instalados e software de segurança. Esses dados são então enviados para um servidor de Comando e Controle (C2) operado pelos atores da ameaça, que possui o endereço IP 185.186.72[.]14.

O cliente estabelece comunicação com o servidor C2 e, independentemente do comando emitido ou de quaisquer dados adicionais transmitidos, o pacote inicial enviado tem consistentemente 73 bytes de tamanho.

ZenRAT também está configurado para transmitir seus logs ao servidor em texto simples. Esses logs registram uma série de verificações do sistema realizadas pelo malware e fornecem informações sobre o status da execução de cada módulo. Esta funcionalidade destaca o seu papel como implante modular e expansível.

Softwares ameaçadores são frequentemente distribuídos por meio de arquivos que fingem ser autênticos instaladores de aplicativos. É crucial que os consumidores finais tenham cautela ao baixar software exclusivamente de fontes confiáveis e verificar se os domínios que hospedam downloads de software correspondem aos associados ao site oficial. Além disso, os indivíduos devem ter cuidado ao encontrar anúncios nos resultados dos motores de busca, pois isso emergiu como uma fonte significativa de infecções deste tipo, especialmente no ano passado.