Malware ZenRAT

V digitální krajině se objevila nová a znepokojivá varianta malwaru známá jako ZenRAT. Tento malware je šířen prostřednictvím klamavých instalačních balíčků vydávajících se za legitimní software pro správu hesel. Stojí za zmínku, že ZenRAT primárně zaměřuje své škodlivé aktivity na uživatele operačního systému Windows. K odfiltrování jeho obětí budou uživatelé na jiných systémech přesměrováni na neškodné webové stránky.

Odborníci na kybernetickou bezpečnost tuto vznikající hrozbu pečlivě prozkoumali a zdokumentovali v obsáhlé technické zprávě. Podle jejich analýzy spadá ZenRAT do kategorie modulárních trojanů pro vzdálený přístup (RAT). Navíc prokazuje schopnost tajně exfiltrovat citlivé informace z infikovaných zařízení, čímž zvyšuje potenciální rizika, která představuje pro oběti a organizace.

ZenRAT se představuje jako legitimní správce hesel

ZenRAT se skrývá na padělaných webových stránkách, které se falešně vydávají za webové stránky pro legitimní aplikaci. Metoda, kterou je provoz směrován do těchto podvodných domén, zůstává nejistý. Historicky byla tato forma malwaru šířena různými způsoby, včetně phishingu, malvertisingu a útoků na otravu SEO.

Užitečná zátěž získaná z crazygameis(tečka)com je zmanipulovaná verze standardního instalačního balíčku, který obsahuje škodlivý spustitelný soubor .NET s názvem ApplicationRuntimeMonitor.exe.

Zajímavým aspektem této kampaně je, že uživatelé, kteří se nedopatřením dostanou na podvodný web z jiných systémů než Windows, jsou přesměrováni na duplicitní článek z opensource.com, původně publikovaný v březnu 2018. Uživatelé Windows, kteří kliknou na odkazy ke stažení určené pro Linux nebo macOS na stránce Stahování jsou přesměrovány na oficiální web legitimního programu.

Infekce ZenRAT může mít zničující následky

Jakmile je ZenRAT aktivován, shromažďuje informace o hostitelském systému, včetně typu CPU, modelu GPU, verze operačního systému, přihlašovacích údajů prohlížeče a seznamu nainstalovaných aplikací a bezpečnostního softwaru. Tato data jsou poté odeslána na server Command-and-Control (C2) provozovaný aktéry hrozby, který má IP adresu 185.186.72[.]14.

Klient naváže komunikaci se serverem C2 a bez ohledu na vydaný příkaz nebo jakákoli další přenesená data má počáteční odeslaný paket konzistentně velikost 73 bajtů.

ZenRAT je navíc nakonfigurován tak, aby předával své protokoly na server v prostém textu. Tyto protokoly zaznamenávají řadu systémových kontrol provedených malwarem a poskytují informace o stavu provádění každého modulu. Tato funkce zdůrazňuje jeho roli modulárního a rozšiřitelného implantátu.

Hrozivý software je často distribuován prostřednictvím souborů, které se vydávají za autentické instalátory aplikací. Pro konečné spotřebitele je zásadní, aby byli opatrní a stahovali software výhradně z renomovaných zdrojů a ověřovali, zda domény hostující stahování softwaru odpovídají doménám spojeným s oficiálními stránkami. Kromě toho by jednotlivci měli být opatrní, když se setkávají s reklamami ve výsledcích vyhledávačů, protože to se ukázalo jako významný zdroj infekcí tohoto druhu, zejména v posledním roce.