ZenRAT 악성코드

ZenRAT로 알려진 새롭고 우려스러운 악성 코드 변종이 디지털 환경에 등장했습니다. 이 악성 코드는 합법적인 비밀번호 관리자 소프트웨어로 가장하는 사기성 설치 패키지를 통해 유포되고 있습니다. ZenRAT가 주로 Windows 운영 체제 사용자에게 악의적인 활동을 집중한다는 점은 주목할 가치가 있습니다. 피해자를 필터링하기 위해 다른 시스템의 사용자는 무해한 웹 페이지로 리디렉션됩니다.

사이버 보안 전문가들은 포괄적인 기술 보고서에서 이 새로운 위협을 부지런히 조사하고 문서화했습니다. 분석에 따르면 ZenRAT는 모듈식 원격 액세스 트로이 목마(RAT) 범주에 속합니다. 또한 감염된 장치에서 민감한 정보를 은밀하게 유출하는 능력을 보여주어 피해자와 조직에 미치는 잠재적인 위험을 강화합니다.

ZenRAT는 합법적인 비밀번호 관리자로 가장합니다.

ZenRAT는 위조 웹사이트에 숨겨져 합법적인 애플리케이션인 것처럼 가장합니다. 트래픽이 이러한 사기성 도메인으로 유입되는 방식은 여전히 불확실합니다. 역사적으로 이러한 형태의 맬웨어는 피싱, 악성 광고, SEO 중독 공격 등 다양한 수단을 통해 유포되었습니다.

crazygameis(dot)com에서 검색된 페이로드는 ApplicationRuntimeMonitor.exe라는 악성 .NET 실행 파일이 포함된 표준 설치 패키지의 변조된 버전입니다.

이 캠페인의 흥미로운 측면은 Windows가 아닌 시스템에서 사기성 웹 사이트에 실수로 접속한 사용자가 원래 2018년 3월에 게시된 opensource.com의 중복 기사로 리디렉션된다는 것입니다. 또한 Linux용으로 지정된 다운로드 링크를 클릭하는 Windows 사용자는 또는 다운로드 페이지의 macOS는 합법적인 프로그램의 공식 웹사이트로 리디렉션됩니다.

ZenRAT 감염은 치명적인 결과를 초래할 수 있습니다

활성화되면 ZenRAT는 CPU 유형, GPU 모델, 운영 체제 버전, 브라우저 자격 증명, 설치된 애플리케이션 및 보안 소프트웨어 목록을 포함하여 호스트 시스템에 대한 정보를 수집합니다. 그런 다음 이 데이터는 공격자가 운영하는 IP 주소 185.186.72[.]14를 가진 명령 및 제어(C2) 서버로 전송됩니다.

클라이언트는 C2 서버와 통신을 설정하며, 실행된 명령이나 전송된 추가 데이터에 관계없이 전송되는 초기 패킷의 크기는 일관되게 73바이트입니다.

ZenRAT는 로그를 일반 텍스트로 서버에 전송하도록 추가로 구성됩니다. 이러한 로그는 악성코드가 수행한 일련의 시스템 검사를 기록하고 각 모듈의 실행 상태에 대한 정보를 제공합니다. 이 기능은 모듈형 및 확장형 임플란트로서의 역할을 강조합니다.

위협적인 소프트웨어는 실제 응용 프로그램 설치 프로그램인 것처럼 가장하는 파일을 통해 배포되는 경우가 많습니다. 최종 소비자는 평판이 좋은 소스에서만 소프트웨어를 다운로드하고 소프트웨어 다운로드를 호스팅하는 도메인이 공식 웹 사이트와 관련된 도메인과 일치하는지 확인하여 주의를 기울이는 것이 중요합니다. 또한 개인은 검색 엔진 결과에서 광고를 접할 때 주의를 기울여야 합니다. 이는 특히 작년에 이러한 종류의 감염의 중요한 원인으로 나타났기 때문입니다.