ZenRAT 恶意软件

数字环境中出现了一种名为 ZenRAT 的新颖且令人担忧的恶意软件变体。该恶意软件通过伪装成合法密码管理器软件的欺骗性安装包进行传播。值得注意的是，ZenRAT 的恶意活动主要针对 Windows 操作系统用户。为了过滤掉受害者，其他系统上的用户将被重新路由到无害的网页。

网络安全专家在一份全面的技术报告中认真研究并记录了这一新出现的威胁。根据他们的分析，ZenRAT 属于模块化远程访问木马（RAT）类别。此外，它还具有从受感染设备中秘密窃取敏感信息的能力，从而加剧了它给受害者和组织带来的潜在风险。

ZenRAT 冒充合法密码管理器

ZenRAT 隐藏在假冒网站中，冒充合法应用程序的网站。流量流入这些欺骗性域的方法仍然不确定。从历史上看，这种形式的恶意软件通过多种方式传播，包括网络钓鱼、恶意广告和 SEO 中毒攻击。

从crazygameis(dot)com检索到的有效负载是标准安装包的篡改版本，其中包含名为ApplicationRuntimeMonitor.exe的恶意.NET可执行文件。

该活动的一个有趣的方面是，从非 Windows 系统无意中登陆欺诈网站的用户会被重定向到 opensource.com 上的重复文章，该文章最初发布于 2018 年 3 月。此外，单击指定用于 Linux 的下载链接的 Windows 用户下载页面上的 macOS 或 macOS 会重新路由到合法程序的官方网站。

ZenRAT 感染可能会造成灾难性后果

激活后，ZenRAT 会收集有关主机系统的信息，包括 CPU 类型、GPU 型号、操作系统版本、浏览器凭据以及已安装的应用程序和安全软件的列表。然后，该数据被发送到由威胁行为者操作的命令与控制 (C2) 服务器，该服务器的 IP 地址为 185.186.72[.]14。

客户端与 C2 服务器建立通信，无论发出的命令或传输的任何附加数据如何，发送的初始数据包的大小始终为 73 字节。

ZenRAT 还被配置为以纯文本形式将其日志传输到服务器。这些日志记录了恶意软件执行的一系列系统检查，并提供有关每个模块执行状态的信息。此功能凸显了其作为模块化和可扩展植入物的作用。

威胁软件经常通过冒充真实应用程序安装程序的文件进行分发。对于最终消费者而言，务必谨慎行事，仅从信誉良好的来源下载软件，并验证托管软件下载的域是否与官方网站相关的域相匹配。此外，个人在搜索引擎结果中遇到广告时应谨慎行事，因为这已成为此类感染的重要来源，特别是在过去的一年中。