ZenRAT-haittaohjelma

Uusi ja huolestuttava haittaohjelmaversio, joka tunnetaan nimellä ZenRAT, on noussut digitaaliseen maisemaan. Tätä haittaohjelmaa levitetään harhaanjohtavien asennuspakettien kautta, jotka naamioituvat laillisiksi salasananhallintaohjelmistoiksi. On syytä huomata, että ZenRAT keskittää haitalliset toimintansa ensisijaisesti Windows-käyttöjärjestelmän käyttäjiin. Sen uhrien suodattamiseksi muiden järjestelmien käyttäjät ohjataan vaarattomille Web-sivuille.

Kyberturvallisuusasiantuntijat ovat ahkerasti tutkineet ja dokumentoineet tämän nousevan uhan kattavassa teknisessä raportissa. Heidän analyysinsa mukaan ZenRAT kuuluu modulaaristen etäkäyttötroijalaisten (RAT) luokkaan. Lisäksi se pystyy salaamaan arkaluonteisia tietoja tartunnan saaneista laitteista, mikä lisää sen uhreille ja organisaatioille aiheuttamia mahdollisia riskejä.

ZenRAT toimii laillisena salasanan hallinnana

ZenRAT on piilotettu väärennetyille verkkosivustoille, ja se esiintyy virheellisesti laillisen sovelluksen sivustoina. Menetelmä, jolla liikenne ohjataan näihin petollisiin verkkotunnuksiin, on edelleen epävarma. Historiallisesti tämäntyyppisiä haittaohjelmia on levitetty useilla tavoilla, mukaan lukien tietojenkalastelu-, haitta- ja SEO-myrkytyshyökkäykset.

Crazygameis(dot)comista haettu hyötykuorma on peukaloitu versio vakioasennuspaketista, joka sisältää haitallisen .NET-suoritettavan tiedoston nimeltä ApplicationRuntimeMonitor.exe.

Tämän kampanjan kiehtova puoli on, että käyttäjät, jotka vahingossa päätyvät vilpilliselle verkkosivustolle muista kuin Windows-järjestelmistä, ohjataan kopioituun artikkeliin osoitteessa opensource.com, joka julkaistiin alun perin maaliskuussa 2018. Lisäksi Windows-käyttäjät, jotka napsauttavat Linuxille tarkoitettuja latauslinkkejä tai macOS Lataukset-sivulla ohjataan uudelleen laillisen ohjelman viralliselle verkkosivustolle.

ZenRAT-infektiolla voi olla tuhoisia seurauksia

Kun ZenRAT on aktivoitu, se kerää tietoja isäntäjärjestelmästä, mukaan lukien CPU-tyypin, GPU-mallin, käyttöjärjestelmän version, selaimen tunnistetiedot sekä luettelon asennetuista sovelluksista ja suojausohjelmistoista. Nämä tiedot lähetetään sitten uhkatekijöiden ylläpitämälle Command-and-Control (C2) -palvelimelle, jonka IP-osoite on 185.186.72[.]14.

Asiakas muodostaa yhteyden C2-palvelimeen, ja riippumatta annetusta komennosta tai lähetetystä lisätiedosta, alkuperäinen lähetetty paketti on kooltaan jatkuvasti 73 tavua.

ZenRAT on lisäksi määritetty lähettämään lokinsa palvelimelle pelkkänä tekstinä. Nämä lokit tallentavat sarjan haittaohjelman suorittamia järjestelmätarkistuksia ja tarjoavat tietoa kunkin moduulin suorituksen tilasta. Tämä toiminto korostaa sen roolia modulaarisena ja laajennettavana implanttina.

Uhkaavaa ohjelmistoa levitetään usein tiedostojen kautta, jotka teeskentelevät olevansa aitoja sovellusten asentajia. Perimmäisten kuluttajien on erittäin tärkeää noudattaa varovaisuutta lataamalla ohjelmistoja yksinomaan hyvämaineisista lähteistä ja varmistamalla, että ohjelmistolatauksia isännöivät verkkotunnukset vastaavat viralliseen verkkosivustoon liittyviä verkkotunnuksia. Lisäksi yksilöiden tulee olla varovaisia kohdatessaan mainoksia hakukoneiden tuloksissa, sillä tämä on noussut merkittäväksi tämän tyyppisten tartuntojen lähteeksi varsinkin viimeisen vuoden aikana.