Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware ZynorRAT

Programe malware ZynorRAT

Până în Mezo în Programe malware, Instrumente de administrare la distanță
Tradu in:

Cercetătorii în domeniul securității cibernetice au identificat o nouă familie de programe malware, formată dintr-un troian de acces la distanță (RAT) compilat în Go, numit ZynorRAT. Implantul vizează atât gazdele Linux, cât și cele Windows, este gestionat printr-un bot Telegram și - pe baza dovezilor disponibile - a apărut pentru prima dată pe 8 iulie 2025. Analiștii nu raportează nicio suprapunere de cod sau comportament cu familiile catalogate anterior, ceea ce sugerează o implementare nouă, mai degrabă decât o variantă a unui set de instrumente existent.

Profil tehnic — note despre limbaj, versiune și compatibilitate cu mai multe platforme

ZynorRAT este implementat în Go, ceea ce permite o singură bază de cod să producă fișiere binare pentru mai multe sisteme de operare țintă. Versiunea Linux este bogată în funcții și expune un set larg de capabilități pentru recunoaștere, colectare de date și control de la distanță. A fost observată și o versiune Windows, care pare similară din punct de vedere funcțional cu varianta Linux; cu toate acestea, aceasta folosește în continuare tehnici de persistență în stil Linux (servicii systemd), ceea ce implică faptul că artefactul Windows ar putea fi incomplet sau în curs de dezvoltare activă.

Capacități — ce poate face malware-ul

Misiunea principală a malware-ului este colectarea, exfiltrarea și accesul de la distanță, cu Command-and-Control (C2) gestionat prin intermediul unui bot Telegram (identificat ca @lraterrorsbot, alias „lrat”). Odată implementat, ZynorRAT primește instrucțiuni suplimentare de la botul respectiv și îndeplinește sarcini local pe gazda victimă. Printre capacitățile cheie ale Linux se numără navigarea și exfiltrarea fișierelor, profilarea sistemului, listarea și terminarea proceselor, capturarea de capturi de ecran, executarea arbitrară a comenzilor și persistența prin systemd.

Puncte finale de comandă observate (așa cum sunt implementate în versiunea Linux):

  • /fs_list — enumeră directoarele
  • /fs_get — extrage fișiere din gazdă
  • /metrics — efectuează profilarea sistemului
  • /proc_list — rulează echivalentul comenzii ps pentru a lista procesele
  • /proc_kill — oprește un proces prin PID
  • /capture_display — face capturi de ecran ale ecranului
  • /persist — stabilește persistența (serviciul systemd)

Comandă și control și distribuție — modul în care operatorul le execută și le distribuie

Telegram este canalul C2 al ZynorRAT: malware-ul se conectează la botul @lraterrorsbot și primește comenzi prin intermediul acestui mediu. Capturile de ecran și alte artefacte partajate prin botul Telegram arată că payload-urile sunt distribuite prin intermediul unui serviciu de partajare a fișierelor numit Dosya.co. Analiza acestor capturi de ecran indică faptul că autorul ar fi putut folosi mașini pe care le controlează pentru a testa sau valida funcționalitatea (autoinfectare). Utilizarea unei platforme publice de mesagerie precum Telegram ca C2 oferă ușurință în utilizare pentru operator și un anumit nivel de flexibilitate operațională, dar creează și indicatori clari (identificatorul botului, trafic Telegram neobișnuit) pe care apărătorii îi pot căuta.

Atribuire și cronologie — ceea ce putem deduce în mod rezonabil

Dovezile indică o activitate care a început pe 8 iulie 2025. Artefactele lingvistice din chat-urile botului și din alte texte recuperate sugerează că operatorul ar putea fi turc sau cel puțin ar putea utiliza resurse în limba turcă, iar analiza actuală favorizează un singur actor, probabil izolat, mai degrabă decât un efort de dezvoltare de grup. Acestea fiind spuse, atribuirea către o persoană sau o națiune ar trebui să rămână prudentă în așteptarea unor coroborări ulterioare.

De ce contează acest lucru — noutăți și tendințe în dezvoltarea de programe malware

Deși RAT-urile sunt comune, ZynorRAT este remarcabil deoarece pare a fi o implementare de tip „cameră curată” (fără suprapuneri cu familii cunoscute) care implementează controale automate și centralizate prin Telegram. Ambițiile sale multi-platformă și utilizarea Go evidențiază tendința operatorilor relativ mici de a produce rapid instrumente multi-OS capabile. Sofisticarea în stadiu incipient arată cât de rapid pot apărea și pot fi implementate noi RAT-uri.

Evaluare finală

ZynorRAT reprezintă un exemplu contemporan de RAT ușor, dar capabil, construit pentru implementare multi-platformă și gestionat printr-un serviciu de mesagerie standard. Descoperirea sa subliniază faptul că până și operatorii individuali pot produce rapid instrumente flexibile de acces la distanță folosind limbaje moderne precum Go. Organizațiile ar trebui să trateze C2 bazat pe Telegram și utilizarea neașteptată a serviciilor de partajare a fișierelor pentru consumatori ca elemente de căutare cu prioritate ridicată, să consolideze crearea de servicii pe endpoint-uri și să aplice atenuările enumerate mai sus pentru a reduce expunerea.

Trending

Cele mai văzute

Se încarcă...