ЗенРАТ Малваре

Нова и забрињавајућа варијанта злонамерног софтвера позната као ЗенРАТ појавила се у дигиталном пејзажу. Овај злонамерни софтвер се шири путем обмањујућих инсталационих пакета који се маскирају као легитимни софтвер за управљање лозинкама. Вреди напоменути да ЗенРАТ своје злонамерне активности првенствено фокусира на кориснике оперативног система Виндовс. Да би филтрирали жртве, корисници на другим системима ће бити преусмерени на безопасне веб странице.

Стручњаци за сајбер безбедност су марљиво испитали и документовали ову претњу која се појављује у свеобухватном техничком извештају. Према њиховој анализи, ЗенРАТ спада у категорију модуларних тројанаца за даљински приступ (РАТ). Штавише, показује способност да прикривено извлачи осетљиве информације са заражених уређаја, појачавајући потенцијалне ризике које представља за жртве и организације.

ЗенРАТ се представља као легитимни менаџер лозинки

ЗенРАТ је сакривен унутар лажних веб локација, лажно се представљајући као оне за легитимну апликацију. Метод којим се саобраћај усмерава ка овим обмањујућим доменима остаје неизвестан. Историјски гледано, овај облик злонамерног софтвера се ширио на различите начине, укључујући пхисхинг, малвертисинг и СЕО нападе тровања.

Корисно оптерећење преузето са цразигамеис(дот)цом је неовлашћена верзија стандардног инсталационог пакета, која садржи злонамерни .НЕТ извршни фајл под називом АпплицатионРунтимеМонитор.еке.

Интригантан аспект ове кампање је да се корисници који ненамерно доспеју на лажну веб локацију са система који нису Виндовс, преусмеравају на дуплирани чланак са опенсоурце.цом, првобитно објављен у марту 2018. Штавише, корисници Виндовса који кликну на везе за преузимање намењене за Линук или мацОС на страници Преузимања се преусмеравају на званичну веб локацију легитимног програма.

ЗенРАТ инфекција може имати разорне последице

Када се активира, ЗенРАТ прикупља информације о хост систему, укључујући тип ЦПУ-а, модел ГПУ-а, верзију оперативног система, акредитиве претраживача и листу инсталираних апликација и безбедносног софтвера. Ови подаци се затим шаљу на сервер за команду и контролу (Ц2) којим управљају актери претње, који има ИП адресу 185.186.72[.]14.

Клијент успоставља комуникацију са Ц2 сервером, и без обзира на издату команду или било какве додатне пренете податке, почетни пакет који се шаље је конзистентно величине 73 бајта.

ЗенРАТ је додатно конфигурисан да преноси своје евиденције на сервер у обичном тексту. Ови дневники бележе низ системских провера које је извршио малвер и пружају информације о статусу извршења сваког модула. Ова функционалност наглашава њену улогу модуларног и проширивог имплантата.

Претећи софтвер се често дистрибуира преко датотека које се претварају да су аутентични инсталатери апликација. За крајње потрошаче је кључно да буду опрезни тако што искључиво преузимају софтвер из реномираних извора и проверавају да ли домени на којима се налази софтвер за преузимање одговарају онима повезаним са званичном веб локацијом. Поред тога, појединци треба да буду опрезни када наиђу на рекламе у резултатима претраживача, јер се то показало као значајан извор заразе ове врсте, посебно у протеклој години.