ZenRAT skadlig programvara

En ny och angående malware-variant känd som ZenRAT har dykt upp i det digitala landskapet. Denna skadliga programvara sprids genom vilseledande installationspaket som maskerar sig som en legitim programvara för lösenordshanterare. Det är värt att notera att ZenRAT främst fokuserar sina skadliga aktiviteter på Windows-operativsystemanvändare. För att filtrera bort dess offer kommer användare på andra system att omdirigeras till ofarliga webbsidor.

Cybersäkerhetsexperter har noggrant undersökt och dokumenterat detta framväxande hot i en omfattande teknisk rapport. Enligt deras analys faller ZenRAT i kategorin modulära fjärråtkomsttrojaner (RAT). Dessutom uppvisar den förmågan att i smyg exfiltrera känslig information från infekterade enheter, vilket intensifierar de potentiella riskerna det utgör för offer och organisationer.

ZenRAT poserar som en legitim lösenordshanterare

ZenRAT är dold på förfalskade webbplatser och utger sig felaktigt som de för den legitima applikationen. Metoden med vilken trafik leds till dessa vilseledande domäner är fortfarande osäker. Historiskt sett har denna form av skadlig programvara spridits på en mängd olika sätt, inklusive nätfiske, malvertising och SEO-förgiftningsattacker.

Nyttolasten som hämtas från crazygameis(dot)com är en manipulerad version av standardinstallationspaketet, som innehåller en skadlig .NET-körbar med namnet ApplicationRuntimeMonitor.exe.

En spännande aspekt av denna kampanj är att användare som oavsiktligt landar på den bedrägliga webbplatsen från icke-Windows-system omdirigeras till en duplicerad artikel från opensource.com, som ursprungligen publicerades i mars 2018. Dessutom Windows-användare som klickar på nedladdningslänkar avsedda för Linux eller macOS på sidan Nedladdningar omdirigeras till den officiella webbplatsen för det legitima programmet.

En ZenRAT-infektion kan få förödande konsekvenser

När ZenRAT har aktiverats samlar den in information om värdsystemet, inklusive CPU-typ, GPU-modell, operativsystemversion, webbläsaruppgifter och en lista över installerade applikationer och säkerhetsprogramvara. Dessa data skickas sedan till en Command-and-Control-server (C2) som drivs av hotaktörerna, som har IP-adressen 185.186.72[.]14.

Klienten upprättar kommunikation med C2-servern, och oavsett vilket kommando som utfärdas eller eventuella ytterligare data som överförs, är det initiala paketet som skickas konsekvent 73 byte stort.

ZenRAT är dessutom konfigurerad för att överföra sina loggar till servern i vanlig text. Dessa loggar registrerar en serie systemkontroller som utförs av skadlig programvara och ger information om status för exekveringen av varje modul. Denna funktion framhäver dess roll som ett modulärt och expanderbart implantat.

Hotande programvara distribueras ofta genom filer som utger sig för att vara autentiska programinstallatörer. Det är avgörande för slutkonsumenter att vara försiktiga genom att uteslutande ladda ner programvara från välrenommerade källor och verifiera att domänerna som är värd för nedladdningar av programvara matchar de som är kopplade till den officiella webbplatsen. Dessutom bör individer vara försiktiga när de stöter på annonser i sökmotorresultat, eftersom detta har visat sig vara en betydande källa till infektioner av detta slag, särskilt under det senaste året.