ZenRAT 惡意軟體

在數位環境中出現了一種名為 ZenRAT 的新穎且令人擔憂的惡意軟體變體。該惡意軟體透過偽裝成合法密碼管理器軟體的欺騙性安裝包進行傳播。值得注意的是，ZenRAT 的惡意活動主要針對 Windows 作業系統使用者。為了過濾掉受害者，其他系統上的使用者將被重新路由到無害的網頁。

網路安全專家在一份全面的技術報告中認真研究並記錄了這一新出現的威脅。根據他們的分析，ZenRAT 屬於模組化遠端存取木馬（RAT）類別。此外，它還具有從受感染設備中秘密竊取敏感資訊的能力，從而加劇了它對受害者和組織帶來的潛在風險。

ZenRAT 冒充合法密碼管理器

ZenRAT 隱藏在假冒網站中，冒充合法應用程式的網站。流量流入這些欺騙性域的方法仍然不確定。從歷史上看，這種形式的惡意軟體透過多種方式傳播，包括網路釣魚、惡意廣告和 SEO 中毒攻擊。

從crazygameis(dot)com檢索到的有效負載是標準安裝包的篡改版本，其中包含名為ApplicationRuntimeMonitor.exe的惡意.NET可執行檔。

該活動的一個有趣的方面是，從非Windows 系統無意中登陸詐騙網站的用戶會被重定向到opensource.com 上的重複文章，該文章最初發佈於2018 年3 月。此外，點擊指定用於Linux 的下載連結的Windows 使用者下載頁面上的 macOS 或 macOS 會重新路由到合法程式的官方網站。

ZenRAT 感染可能會造成災難性後果

啟動後，ZenRAT 會收集有關主機系統的信息，包括 CPU 類型、GPU 型號、作業系統版本、瀏覽器憑證以及已安裝的應用程式和安全軟體的清單。然後，該資料被傳送到由威脅行為者操作的命令與控制 (C2) 伺服器，該伺服器的 IP 位址為 185.186.72[.]14。

客戶端與 C2 伺服器建立通信，無論發出的命令或傳輸的任何附加資料如何，發送的初始資料包的大小始終為 73 位元組。

ZenRAT 也被配置為以純文字形式將其日誌傳輸到伺服器。這些日誌記錄了惡意軟體執行的一系列系統檢查，並提供有關每個模組執行狀態的資訊。此功能凸顯了其作為模組化和可擴展植入物的作用。

威脅軟體經常透過冒充真實應用程式安裝程式的檔案進行分發。對於最終消費者而言，務必謹慎行事，僅從信譽良好的來源下載軟體，並驗證託管軟體下載的網域是否與官方網站相關的網域相符。此外，個人在搜尋引擎結果中遇到廣告時應謹慎行事，因為這已成為此類感染的重要來源，特別是在過去的一年中。