ZenRAT Malware

Ang isang nobela at tungkol sa variant ng malware na kilala bilang ZenRAT ay lumabas sa digital landscape. Ang malware na ito ay ipinapakalat sa pamamagitan ng mapanlinlang na mga pakete sa pag-install na nagpapanggap bilang lehitimong software ng tagapamahala ng password. Kapansin-pansin na ang ZenRAT ay pangunahing nakatuon sa mga malisyosong aktibidad nito sa mga gumagamit ng Windows operating system. Upang i-filter ang mga biktima nito, ang mga user sa iba pang mga system ay ililipat sa hindi nakakapinsalang mga Web page.

Masigasig na sinuri at naidokumento ng mga eksperto sa cybersecurity ang umuusbong na banta na ito sa isang komprehensibong teknikal na ulat. Ayon sa kanilang pagsusuri, ang ZenRAT ay nabibilang sa kategorya ng modular Remote Access trojans (RATs). Bukod dito, nagpapakita ito ng kakayahang palihim na i-exfiltrate ang sensitibong impormasyon mula sa mga nahawaang device, na nagpapatindi sa mga potensyal na panganib na idinudulot nito sa mga biktima at organisasyon.

Nagpo-pose ang ZenRAT bilang Lehitimong Password Manager

Ang ZenRAT ay nakatago sa loob ng mga pekeng website, na nagpapanggap na para sa lehitimong aplikasyon. Nananatiling hindi sigurado ang paraan kung saan inilalabas ang trapiko sa mga mapanlinlang na domain na ito. Sa kasaysayan, ang anyo ng malware na ito ay ipinakalat sa pamamagitan ng iba't ibang paraan, kabilang ang phishing, malvertising, at SEO poisoning attacks.

Ang kargamento na nakuha mula sa crazygameis(dot)com ay isang pinakialaman na bersyon ng karaniwang pakete ng pag-install, na nagtataglay ng isang nakakahamak na .NET executable na pinangalanang ApplicationRuntimeMonitor.exe.

Ang isang nakakaintriga na aspeto ng campaign na ito ay ang mga user na hindi sinasadyang napunta sa mapanlinlang na website mula sa mga hindi Windows system ay na-redirect sa isang duplicated na artikulo mula sa opensource.com, na orihinal na na-publish noong Marso 2018. Higit pa rito, ang mga user ng Windows na nag-click sa mga link sa pag-download na itinalaga para sa Linux o macOS sa pahina ng Mga Download ay inilipat sa opisyal na website ng lehitimong programa.

Ang Impeksiyon ng ZenRAT ay maaaring Magkaroon ng Mapangwasak na mga Bunga

Kapag na-activate na, kinokolekta ng ZenRAT ang impormasyon tungkol sa host system, kabilang ang uri ng CPU, modelo ng GPU, bersyon ng operating system, mga kredensyal ng browser, at isang listahan ng mga naka-install na application at software ng seguridad. Ipapadala ang data na ito sa isang Command-and-Control (C2) server na pinapatakbo ng mga threat actor, na mayroong IP address na 185.186.72[.]14.

Ang kliyente ay nagtatatag ng komunikasyon sa C2 server, at anuman ang inilabas na utos o anumang karagdagang data na ipinadala, ang unang packet na ipinadala ay patuloy na 73 bytes ang laki.

Ang ZenRAT ay karagdagang na-configure upang ipadala ang mga log nito sa server sa plain text. Ang mga log na ito ay nagtatala ng isang serye ng mga pagsusuri sa system na ginawa ng malware at nagbibigay ng impormasyon tungkol sa katayuan ng pagpapatupad ng bawat module. Itinatampok ng functionality na ito ang papel nito bilang isang modular at napapalawak na implant.

Ang nagbabantang software ay madalas na ipinamamahagi sa pamamagitan ng mga file na nagpapanggap bilang mga tunay na installer ng application. Napakahalaga para sa mga ultimate consumer na mag-ingat sa pamamagitan ng eksklusibong pag-download ng software mula sa mga mapagkakatiwalaang source at pag-verify na ang mga domain na nagho-host ng mga download ng software ay tumutugma sa mga nauugnay sa opisyal na website. Bukod pa rito, dapat mag-ingat ang mga indibidwal kapag nakakaranas ng mga advertisement sa mga resulta ng search engine, dahil ito ay lumitaw bilang isang makabuluhang pinagmumulan ng ganitong uri ng mga impeksiyon, lalo na sa nakaraang taon.