Malware ZenRAT

Një variant i ri dhe shqetësues i malware i njohur si ZenRAT është shfaqur në peizazhin dixhital. Ky malware po shpërndahet përmes paketave mashtruese të instalimit të maskuara si softuer legjitim të menaxherit të fjalëkalimeve. Vlen të përmendet se ZenRAT kryesisht fokuson aktivitetet e tij me qëllim të keq te përdoruesit e sistemit operativ Windows. Për të filtruar viktimat e tij, përdoruesit në sisteme të tjera do të ridrejtohen drejt faqeve të padëmshme të internetit.

Ekspertët e sigurisë kibernetike kanë ekzaminuar dhe dokumentuar me zell këtë kërcënim në zhvillim në një raport teknik gjithëpërfshirës. Sipas analizës së tyre, ZenRAT bën pjesë në kategorinë e trojanëve modularë me qasje në distancë (RAT). Për më tepër, ai shfaq aftësinë për të nxjerrë në mënyrë të fshehtë informacione të ndjeshme nga pajisjet e infektuara, duke intensifikuar rreziqet e mundshme që ai paraqet për viktimat dhe organizatat.

ZenRAT Paraqitet si një menaxher legjitim i fjalëkalimeve

ZenRAT fshihet në faqet e internetit të falsifikuara, duke u paraqitur në mënyrë të rreme si ato për aplikimin legjitim. Metoda me të cilën trafiku kanalizohet në këto domene mashtruese mbetet e pasigurt. Historikisht, kjo formë e malware është shpërndarë përmes një sërë mjetesh, duke përfshirë phishing, keqvertim dhe sulme helmuese SEO.

Ngarkesa e marrë nga crazygameis(dot)com është një version i manipuluar i paketës standarde të instalimit, që strehon një ekzekutues me qëllim të keq .NET të quajtur ApplicationRuntimeMonitor.exe.

Një aspekt intrigues i kësaj fushate është se përdoruesit që pa dashje zbarkojnë në uebsajtin mashtrues nga sistemet jo-Windows, ridrejtohen në një artikull të kopjuar nga opensource.com, i botuar fillimisht në mars 2018. Për më tepër, përdoruesit e Windows që klikojnë në lidhjet e shkarkimit të përcaktuara për Linux ose macOS në faqen e Shkarkimeve ridrejtohen në faqen zyrtare të programit legjitim.

Një infeksion ZenRAT mund të ketë pasoja shkatërruese

Pasi të aktivizohet, ZenRAT mbledh informacione rreth sistemit pritës, duke përfshirë llojin e CPU-së, modelin GPU, versionin e sistemit operativ, kredencialet e shfletuesit dhe një listë të aplikacioneve të instaluara dhe softuerit të sigurisë. Këto të dhëna më pas dërgohen në një server Command-and-Control (C2) i operuar nga aktorët e kërcënimit, i cili ka adresën IP 185.186.72[.]14.

Klienti vendos komunikim me serverin C2, dhe pavarësisht nga komanda e lëshuar ose ndonjë e dhënë shtesë e transmetuar, paketa fillestare e dërguar është vazhdimisht 73 bajt në madhësi.

ZenRAT është konfiguruar gjithashtu për të transmetuar regjistrat e tij në server në tekst të thjeshtë. Këto regjistra regjistrojnë një sërë kontrollesh të sistemit të kryera nga malware dhe japin informacion në lidhje me statusin e ekzekutimit të secilit modul. Ky funksionalitet nxjerr në pah rolin e tij si një implant modular dhe i zgjerueshëm.

Softueri kërcënues shpërndahet shpesh përmes skedarëve që pretendojnë se janë instalues autentikë të aplikacioneve. Është thelbësore që konsumatorët e fundit të tregojnë kujdes duke shkarkuar ekskluzivisht softuer nga burime me reputacion dhe duke verifikuar që domenet që strehojnë shkarkimet e softuerit përputhen me ato të lidhura me faqen zyrtare të internetit. Përveç kësaj, individët duhet të tregojnë kujdes kur hasin reklama në rezultatet e motorëve të kërkimit, pasi kjo është shfaqur si një burim i rëndësishëm infeksionesh të këtij lloji, veçanërisht në vitin e kaluar.