มัลแวร์ ZenRAT

มัลแวร์สายพันธุ์ใหม่และที่เกี่ยวข้องที่เรียกว่า ZenRAT ได้ปรากฏตัวในโลกดิจิทัล มัลแวร์นี้กำลังแพร่กระจายผ่านแพ็คเกจการติดตั้งหลอกลวงซึ่งปลอมตัวเป็นซอฟต์แวร์จัดการรหัสผ่านที่ถูกต้องตามกฎหมาย เป็นที่น่าสังเกตว่า ZenRAT มุ่งเน้นไปที่กิจกรรมที่เป็นอันตรายกับผู้ใช้ระบบปฏิบัติการ Windows เป็นหลัก เพื่อกรองเหยื่อ ผู้ใช้ในระบบอื่นจะถูกเปลี่ยนเส้นทางไปยังเว็บเพจที่ไม่เป็นอันตราย

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ตรวจสอบและบันทึกภัยคุกคามที่เกิดขึ้นนี้อย่างขยันขันแข็งในรายงานทางเทคนิคที่ครอบคลุม ตามการวิเคราะห์ของพวกเขา ZenRAT จัดอยู่ในหมวดหมู่ของโทรจันการเข้าถึงระยะไกลแบบโมดูลาร์ (RAT) นอกจากนี้ยังแสดงความสามารถในการลักลอบขโมยข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ติดไวรัส เพิ่มความเสี่ยงที่อาจเกิดขึ้นกับเหยื่อและองค์กรต่างๆ

ZenRAT ปลอมตัวเป็นผู้จัดการรหัสผ่านที่ถูกกฎหมาย

ZenRAT ถูกซ่อนอยู่ในเว็บไซต์ลอกเลียนแบบ โดยปลอมแปลงเป็นเว็บไซต์ที่ถูกต้องตามกฎหมาย วิธีการส่งการรับส่งข้อมูลไปยังโดเมนที่หลอกลวงเหล่านี้ยังคงไม่แน่นอน ในอดีต มัลแวร์รูปแบบนี้แพร่กระจายผ่านวิธีการต่างๆ มากมาย รวมถึงการโจมตีแบบฟิชชิ่ง มัลแวร์โฆษณา และการโจมตีแบบ SEO

เพย์โหลดที่ดึงมาจาก crazygameis(dot)com เป็นเวอร์ชันที่ถูกดัดแปลงของแพ็คเกจการติดตั้งมาตรฐาน โดยมีไฟล์ปฏิบัติการ .NET ที่เป็นอันตรายชื่อ ApplicationRuntimeMonitor.exe

สิ่งที่น่าสนใจของแคมเปญนี้คือ ผู้ใช้ที่เข้าสู่เว็บไซต์หลอกลวงจากระบบที่ไม่ใช่ Windows โดยไม่ได้ตั้งใจ จะถูกเปลี่ยนเส้นทางไปยังบทความที่ซ้ำกันจาก opensource.com ซึ่งเผยแพร่ครั้งแรกในเดือนมีนาคม 2018 นอกจากนี้ ผู้ใช้ Windows ที่คลิกลิงก์ดาวน์โหลดที่กำหนดสำหรับ Linux หรือ macOS ในหน้าดาวน์โหลดจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อย่างเป็นทางการของโปรแกรมที่ถูกกฎหมาย

การติดเชื้อ ZenRAT อาจส่งผลร้ายแรง

เมื่อเปิดใช้งานแล้ว ZenRAT จะรวบรวมข้อมูลเกี่ยวกับระบบโฮสต์ รวมถึงประเภท CPU, รุ่น GPU, เวอร์ชันระบบปฏิบัติการ, ข้อมูลรับรองเบราว์เซอร์ และรายการแอปพลิเคชันที่ติดตั้งและซอฟต์แวร์รักษาความปลอดภัย จากนั้นข้อมูลนี้จะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ที่ดำเนินการโดยผู้คุกคามซึ่งมีที่อยู่ IP 185.186.72[.]14

ไคลเอนต์สร้างการสื่อสารกับเซิร์ฟเวอร์ C2 และไม่ว่าจะออกคำสั่งหรือส่งข้อมูลเพิ่มเติมใด ๆ ก็ตาม แพ็กเก็ตเริ่มต้นที่ส่งจะมีขนาด 73 ไบต์อย่างสม่ำเสมอ

ZenRAT ได้รับการกำหนดค่าเพิ่มเติมให้ส่งบันทึกไปยังเซิร์ฟเวอร์ในรูปแบบข้อความธรรมดา บันทึกเหล่านี้จะบันทึกชุดการตรวจสอบระบบที่ดำเนินการโดยมัลแวร์ และให้ข้อมูลเกี่ยวกับสถานะของการดำเนินการของแต่ละโมดูล ฟังก์ชันการทำงานนี้เน้นย้ำถึงบทบาทในฐานะอุปกรณ์ฝังเทียมแบบโมดูลาร์และแบบขยายได้

ซอฟต์แวร์ที่เป็นอันตรายมักถูกเผยแพร่ผ่านไฟล์ที่ปลอมแปลงเป็นโปรแกรมติดตั้งแอปพลิเคชันจริง เป็นสิ่งสำคัญสำหรับผู้บริโภคขั้นสูงสุดที่ต้องใช้ความระมัดระวังโดยการดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้โดยเฉพาะ และตรวจสอบว่าโดเมนที่โฮสต์การดาวน์โหลดซอฟต์แวร์ตรงกับโดเมนที่เกี่ยวข้องกับเว็บไซต์อย่างเป็นทางการ นอกจากนี้ บุคคลควรใช้ความระมัดระวังเมื่อพบโฆษณาในผลลัพธ์ของเครื่องมือค้นหา เนื่องจากสิ่งนี้กลายเป็นแหล่งที่มาสำคัญของการติดเชื้อประเภทนี้ โดยเฉพาะในปีที่ผ่านมา