Zlonamerna programska oprema ZenRAT

V digitalni pokrajini se je pojavila nova in zaskrbljujoča različica zlonamerne programske opreme, znana kot ZenRAT. Ta zlonamerna programska oprema se razširja prek zavajajočih namestitvenih paketov, ki se predstavljajo kot legitimna programska oprema za upravljanje gesel. Omeniti velja, da ZenRAT svoje zlonamerne dejavnosti osredotoča predvsem na uporabnike operacijskega sistema Windows. Da bi filtrirali svoje žrtve, bodo uporabniki drugih sistemov preusmerjeni na neškodljive spletne strani.

Strokovnjaki za kibernetsko varnost so skrbno preučili in dokumentirali to nastajajočo grožnjo v obsežnem tehničnem poročilu. Po njihovi analizi spada ZenRAT v kategorijo modularnih trojanov za oddaljeni dostop (RAT). Poleg tega izkazuje zmožnost prikritega izločanja občutljivih informacij iz okuženih naprav, kar povečuje morebitna tveganja, ki jih predstavlja za žrtve in organizacije.

ZenRAT se predstavlja kot zakonit upravitelj gesel

ZenRAT je skrit na ponarejenih spletnih mestih, ki se lažno predstavljajo kot tista za zakonito aplikacijo. Metoda, po kateri se promet usmerja na te goljufive domene, ostaja negotova. V preteklosti se je ta oblika zlonamerne programske opreme širila na različne načine, vključno z lažnim predstavljanjem, zlonamernim oglaševanjem in napadi z zastrupitvijo SEO.

Tovor, pridobljen iz crazygameis(dot)com, je spremenjena različica standardnega namestitvenega paketa, ki vsebuje zlonamerno izvedljivo datoteko .NET z imenom ApplicationRuntimeMonitor.exe.

Zanimiv vidik te kampanje je, da so uporabniki, ki nenamerno pristanejo na goljufivem spletnem mestu iz sistemov, ki niso Windows, preusmerjeni na podvojen članek z opensource.com, ki je bil prvotno objavljen marca 2018. Poleg tega uporabniki sistema Windows, ki kliknejo povezave za prenos, namenjene za Linux ali macOS na strani Prenosi so preusmerjeni na uradno spletno mesto zakonitega programa.

Okužba z ZenRAT ima lahko uničujoče posledice

Ko je aktiviran, ZenRAT zbira informacije o gostiteljskem sistemu, vključno z vrsto procesorja, modelom GPE, različico operacijskega sistema, poverilnicami brskalnika ter seznamom nameščenih aplikacij in varnostne programske opreme. Ti podatki se nato pošljejo strežniku za ukazovanje in nadzor (C2), ki ga upravljajo akterji groženj in ima naslov IP 185.186.72[.]14.

Odjemalec vzpostavi komunikacijo s strežnikom C2 in ne glede na izdani ukaz ali morebitne dodatne poslane podatke je začetni poslani paket dosledno velik 73 bajtov.

ZenRAT je dodatno konfiguriran za prenos svojih dnevnikov na strežnik v navadnem besedilu. Ti dnevniki beležijo niz sistemskih preverjanj, ki jih izvaja zlonamerna programska oprema, in zagotavljajo informacije o statusu izvajanja vsakega modula. Ta funkcionalnost poudarja njegovo vlogo modularnega in razširljivega vsadka.

Nevarna programska oprema se pogosto distribuira prek datotek, ki se pretvarjajo, da so pristni namestitveni programi. Za končne potrošnike je ključnega pomena, da so previdni in prenašajo programsko opremo izključno iz uglednih virov in preverijo, ali se domene, ki gostijo prenose programske opreme, ujemajo s tistimi, ki so povezane z uradnim spletnim mestom. Poleg tega naj bodo posamezniki previdni, ko naletijo na oglase v rezultatih iskalnikov, saj se je to pokazalo kot pomemben vir tovrstnih okužb, zlasti v zadnjem letu.