ZenRAT Malware

O variantă de malware inedită și îngrijorătoare cunoscută sub numele de ZenRAT a apărut în peisajul digital. Acest malware este răspândit prin pachete de instalare înșelătoare care se maschează drept software legitim de gestionare a parolelor. Este de remarcat faptul că ZenRAT își concentrează în primul rând activitățile rău intenționate asupra utilizatorilor sistemului de operare Windows. Pentru a-și filtra victimele, utilizatorii de pe alte sisteme vor fi redirecționați către pagini Web inofensive.

Experții în securitate cibernetică au examinat cu atenție și au documentat această amenințare emergentă într-un raport tehnic cuprinzător. Conform analizei lor, ZenRAT se încadrează în categoria troienilor modulare de acces la distanță (RAT). Mai mult decât atât, prezintă capacitatea de a exfiltra în mod furtiv informații sensibile din dispozitivele infectate, intensificând riscurile potențiale pe care le prezintă victimelor și organizațiilor.

ZenRAT se prezintă ca un manager de parole legitime

ZenRAT este ascuns în site-urile web contrafăcute, pretinzându-se în mod fals drept cele pentru aplicația legitimă. Metoda prin care traficul este canalizat către aceste domenii înșelătoare rămâne incertă. Din punct de vedere istoric, această formă de malware a fost răspândită printr-o varietate de mijloace, inclusiv atacuri de tip phishing, publicitate malware și atacuri de otrăvire SEO.

Sarcina utilă preluată de la crazygameis(dot)com este o versiune modificată a pachetului de instalare standard, care găzduiește un executabil .NET rău intenționat numit ApplicationRuntimeMonitor.exe.

Un aspect intrigant al acestei campanii este că utilizatorii care ajung din neatenție pe site-ul web fraudulos din sisteme non-Windows sunt redirecționați către un articol duplicat de pe opensource.com, publicat inițial în martie 2018. În plus, utilizatorii Windows care dau clic pe link-urile de descărcare desemnate pentru Linux sau macOS de pe pagina Descărcări sunt redirecționate către site-ul web oficial al programului legitim.

O infecție cu ZenRAT poate avea consecințe devastatoare

Odată activat, ZenRAT colectează informații despre sistemul gazdă, inclusiv tipul CPU, modelul GPU, versiunea sistemului de operare, acreditările browserului și o listă de aplicații instalate și software de securitate. Aceste date sunt apoi trimise către un server Command-and-Control (C2) operat de actorii amenințărilor, care are adresa IP 185.186.72[.]14.

Clientul stabilește comunicarea cu serverul C2 și, indiferent de comanda emisă sau de orice date suplimentare transmise, pachetul inițial trimis este în mod constant de 73 de octeți.

ZenRAT este configurat suplimentar pentru a-și transmite jurnalele către server în text simplu. Aceste jurnaluri înregistrează o serie de verificări ale sistemului efectuate de malware și oferă informații despre starea execuției fiecărui modul. Această funcționalitate îi evidențiază rolul de implant modular și extensibil.

Software-ul amenințător este distribuit frecvent prin fișiere care pretind a fi instalatori autentici de aplicații. Este esențial ca consumatorii finali să fie precauți, descarcând exclusiv software din surse de renume și verificând dacă domeniile care găzduiesc descărcări de software se potrivesc cu cele asociate site-ului oficial. În plus, persoanele ar trebui să fie precaute atunci când întâlnesc reclame în rezultatele motoarelor de căutare, deoarece aceasta a apărut ca o sursă semnificativă de infecții de acest tip, în special în ultimul an.