ZenRAT Kötü Amaçlı Yazılım

ZenRAT olarak bilinen yeni ve endişe verici bir kötü amaçlı yazılım çeşidi dijital ortamda ortaya çıktı. Bu kötü amaçlı yazılım, yasal şifre yöneticisi yazılımı görünümüne bürünen aldatıcı kurulum paketleri aracılığıyla yayılıyor. ZenRAT'ın kötü amaçlı faaliyetlerini öncelikle Windows işletim sistemi kullanıcılarına odakladığını belirtmekte fayda var. Kurbanlarını filtrelemek için diğer sistemlerdeki kullanıcılar zararsız Web sayfalarına yönlendirilecek.

Siber güvenlik uzmanları, ortaya çıkan bu tehdidi kapsamlı bir teknik raporda özenle inceledi ve belgeledi. Analizlerine göre ZenRAT, modüler Uzaktan Erişim truva atları (RAT'lar) kategorisine giriyor. Dahası, hassas bilgileri virüs bulaşmış cihazlardan gizlice sızdırma yeteneğini sergileyerek kurbanlara ve kuruluşlara yönelik oluşturduğu potansiyel riskleri yoğunlaştırıyor.

ZenRAT Meşru Bir Şifre Yöneticisi Olarak Poz Veriyor

ZenRAT, sahte web sitelerinde gizlenmiştir ve sahte bir şekilde meşru uygulamaymış gibi görünmektedir. Trafiğin bu aldatıcı alanlara yönlendirilme yöntemi belirsizliğini koruyor. Geçmişte, bu tür kötü amaçlı yazılımlar kimlik avı, kötü amaçlı reklamcılık ve SEO zehirlenmesi saldırıları dahil olmak üzere çeşitli yollarla yayılmıştır.

Crazygameis(dot)com'dan alınan yük, standart kurulum paketinin değiştirilmiş bir sürümüdür ve ApplicationRuntimeMonitor.exe adlı kötü amaçlı bir .NET yürütülebilir dosyasını barındırır.

Bu kampanyanın ilgi çekici bir yönü, Windows dışındaki sistemlerden yanlışlıkla sahte web sitesine ulaşan kullanıcıların, ilk olarak Mart 2018'de yayınlanan, opensource.com'daki kopya bir makaleye yönlendirilmeleridir. Ayrıca, Linux için belirlenmiş indirme bağlantılarına tıklayan Windows kullanıcıları veya İndirilenler sayfasındaki macOS, meşru programın resmi web sitesine yönlendirilir.

ZenRAT Enfeksiyonunun Yıkıcı Sonuçları Olabilir

Etkinleştirildiğinde ZenRAT, CPU türü, GPU modeli, işletim sistemi sürümü, tarayıcı kimlik bilgileri ve yüklü uygulamaların ve güvenlik yazılımının listesi dahil olmak üzere ana sistem hakkında bilgi toplar. Bu veriler daha sonra tehdit aktörleri tarafından işletilen ve 185.186.72[.]14 IP adresine sahip bir Komuta ve Kontrol (C2) sunucusuna gönderilir.

İstemci C2 sunucusuyla iletişim kurar ve verilen komuttan veya aktarılan herhangi bir ek veriden bağımsız olarak gönderilen ilk paketin boyutu sürekli olarak 73 bayttır.

ZenRAT ayrıca günlüklerini sunucuya düz metin olarak iletecek şekilde yapılandırılmıştır. Bu günlükler, kötü amaçlı yazılım tarafından gerçekleştirilen bir dizi sistem denetimini kaydeder ve her modülün yürütme durumu hakkında bilgi sağlar. Bu işlevsellik, modüler ve genişletilebilir bir implant olarak rolünü vurgulamaktadır.

Tehditkar yazılımlar sıklıkla orijinal uygulama yükleyicileriymiş gibi davranan dosyalar aracılığıyla dağıtılır. Nihai tüketicilerin, yalnızca saygın kaynaklardan yazılım indirerek ve yazılım indirmelerini barındıran alan adlarının resmi web sitesiyle ilişkili alan adlarıyla eşleştiğini doğrulayarak dikkatli olmaları çok önemlidir. Ayrıca, arama motoru sonuçlarında reklamlarla karşılaşan kişilerin dikkatli olması gerekir çünkü bu, özellikle geçtiğimiz yıl bu tür enfeksiyonların önemli bir kaynağı olarak ortaya çıktı.