Phần mềm độc hại ZenRAT

Một biến thể phần mềm độc hại mới và đáng lo ngại có tên ZenRAT đã xuất hiện trong bối cảnh kỹ thuật số. Phần mềm độc hại này đang được phát tán thông qua các gói cài đặt lừa đảo giả dạng phần mềm quản lý mật khẩu hợp pháp. Điều đáng chú ý là ZenRAT chủ yếu tập trung các hoạt động độc hại của mình vào người dùng hệ điều hành Windows. Để lọc nạn nhân của nó, người dùng trên các hệ thống khác sẽ được định tuyến lại đến các trang Web vô hại.

Các chuyên gia an ninh mạng đã siêng năng kiểm tra và ghi lại mối đe dọa mới nổi này trong một báo cáo kỹ thuật toàn diện. Theo phân tích của họ, ZenRAT thuộc loại trojan Truy cập từ xa (RAT) mô-đun. Hơn nữa, nó còn thể hiện khả năng lén lút lấy thông tin nhạy cảm từ các thiết bị bị nhiễm, làm tăng thêm những rủi ro tiềm ẩn mà nó gây ra cho nạn nhân và tổ chức.

ZenRAT đặt ra như một trình quản lý mật khẩu hợp pháp

ZenRAT được che giấu trong các trang web giả mạo, giả mạo là trang web dành cho ứng dụng hợp pháp. Phương pháp chuyển lưu lượng truy cập đến các miền lừa đảo này vẫn chưa chắc chắn. Trong lịch sử, dạng phần mềm độc hại này đã được phổ biến thông qua nhiều phương tiện khác nhau, bao gồm các cuộc tấn công lừa đảo, quảng cáo độc hại và đầu độc SEO.

Tải trọng được truy xuất từ crazygameis(dot)com là phiên bản giả mạo của gói cài đặt tiêu chuẩn, chứa tệp thực thi .NET độc hại có tên ApplicationRuntimeMonitor.exe.

Một khía cạnh hấp dẫn của chiến dịch này là những người dùng vô tình truy cập vào trang web lừa đảo từ các hệ thống không phải Windows sẽ được chuyển hướng đến một bài viết trùng lặp từ opensource.com, được xuất bản lần đầu vào tháng 3 năm 2018. Hơn nữa, những người dùng Windows nhấp vào các liên kết tải xuống được chỉ định cho Linux hoặc macOS trên trang Tải xuống được định tuyến lại đến trang web chính thức của chương trình hợp pháp.

Nhiễm trùng ZenRAT có thể gây ra hậu quả tàn khốc

Sau khi được kích hoạt, ZenRAT sẽ thu thập thông tin về hệ thống máy chủ, bao gồm loại CPU, kiểu GPU, phiên bản hệ điều hành, thông tin xác thực trình duyệt cũng như danh sách các ứng dụng và phần mềm bảo mật đã cài đặt. Dữ liệu này sau đó được gửi đến máy chủ Chỉ huy và Kiểm soát (C2) do kẻ tấn công vận hành, có địa chỉ IP 185.186.72[.]14.

Máy khách thiết lập liên lạc với máy chủ C2 và bất kể lệnh được đưa ra hay bất kỳ dữ liệu bổ sung nào được truyền đi, gói ban đầu được gửi luôn có kích thước 73 byte.

ZenRAT được cấu hình bổ sung để truyền nhật ký của nó đến máy chủ ở dạng văn bản thuần túy. Các nhật ký này ghi lại một loạt các hoạt động kiểm tra hệ thống do phần mềm độc hại thực hiện và cung cấp thông tin về trạng thái thực thi của từng mô-đun. Chức năng này nêu bật vai trò của nó như một bộ phận cấy ghép mô-đun và có thể mở rộng.

Phần mềm đe dọa thường xuyên được phát tán thông qua các tệp giả vờ là trình cài đặt ứng dụng đích thực. Điều quan trọng đối với người tiêu dùng cuối cùng là phải thận trọng bằng cách tải xuống phần mềm độc quyền từ các nguồn có uy tín và xác minh rằng các miền tải xuống phần mềm lưu trữ phù hợp với các miền được liên kết với trang web chính thức. Ngoài ra, các cá nhân nên thận trọng khi gặp quảng cáo trong kết quả của công cụ tìm kiếm, vì quảng cáo này đã nổi lên như một nguồn lây nhiễm đáng kể thuộc loại này, đặc biệt là trong năm qua.