ZenRAT मैलवेयर
ZenRAT के नाम से जाना जाने वाला एक नया और संबंधित मैलवेयर संस्करण डिजिटल परिदृश्य में सामने आया है। यह मैलवेयर वैध पासवर्ड मैनेजर सॉफ़्टवेयर के रूप में भ्रामक इंस्टॉलेशन पैकेजों के माध्यम से प्रसारित किया जा रहा है। यह ध्यान देने योग्य है कि ZenRAT मुख्य रूप से विंडोज़ ऑपरेटिंग सिस्टम उपयोगकर्ताओं पर अपनी दुर्भावनापूर्ण गतिविधियों पर ध्यान केंद्रित करता है। इसके पीड़ितों को फ़िल्टर करने के लिए, अन्य सिस्टम के उपयोगकर्ताओं को हानिरहित वेब पेजों पर पुनः भेजा जाएगा।
साइबर सुरक्षा विशेषज्ञों ने इस उभरते खतरे की सावधानीपूर्वक जांच की है और एक व्यापक तकनीकी रिपोर्ट में इसका दस्तावेजीकरण किया है। उनके विश्लेषण के अनुसार, ZenRAT मॉड्यूलर रिमोट एक्सेस ट्रोजन (RATs) की श्रेणी में आता है। इसके अलावा, यह संक्रमित उपकरणों से संवेदनशील जानकारी को गुप्त रूप से बाहर निकालने की क्षमता प्रदर्शित करता है, जिससे पीड़ितों और संगठनों के लिए संभावित जोखिम बढ़ जाते हैं।
ZenRAT एक वैध पासवर्ड प्रबंधक के रूप में प्रस्तुत होता है
ZenRAT को नकली वेबसाइटों के भीतर छुपाया गया है, जो गलत तरीके से वैध एप्लिकेशन के रूप में प्रस्तुत की जाती है। वह विधि जिसके द्वारा इन भ्रामक डोमेन पर ट्रैफ़िक फ़नल किया जाता है, अनिश्चित बनी हुई है। ऐतिहासिक रूप से, मैलवेयर के इस रूप को फ़िशिंग, मैलवेयर और एसईओ विषाक्तता हमलों सहित विभिन्न माध्यमों से प्रसारित किया गया है।
Crazygameis(dot)com से प्राप्त पेलोड मानक इंस्टॉलेशन पैकेज का एक छेड़छाड़ किया हुआ संस्करण है, जिसमें एक दुर्भावनापूर्ण .NET निष्पादन योग्य एप्लिकेशनRuntimeMonitor.exe है।
इस अभियान का एक दिलचस्प पहलू यह है कि जो उपयोगकर्ता अनजाने में गैर-विंडोज सिस्टम से धोखाधड़ी वाली वेबसाइट पर पहुंच जाते हैं, उन्हें opensource.com के डुप्लिकेट लेख पर रीडायरेक्ट किया जाता है, जो मूल रूप से मार्च 2018 में प्रकाशित हुआ था। इसके अलावा, विंडोज उपयोगकर्ता जो लिनक्स के लिए निर्दिष्ट डाउनलोड लिंक पर क्लिक करते हैं या डाउनलोड पृष्ठ पर macOS को वैध प्रोग्राम की आधिकारिक वेबसाइट पर पुनः भेज दिया जाता है।
ZenRAT संक्रमण के विनाशकारी परिणाम हो सकते हैं
एक बार सक्रिय होने पर, ZenRAT होस्ट सिस्टम के बारे में जानकारी एकत्र करता है, जिसमें सीपीयू प्रकार, जीपीयू मॉडल, ऑपरेटिंग सिस्टम संस्करण, ब्राउज़र क्रेडेंशियल और इंस्टॉल किए गए एप्लिकेशन और सुरक्षा सॉफ़्टवेयर की सूची शामिल है। यह डेटा फिर खतरे वाले अभिनेताओं द्वारा संचालित कमांड-एंड-कंट्रोल (सी2) सर्वर को भेजा जाता है, जिसका आईपी पता 185.186.72[.]14 है।
क्लाइंट C2 सर्वर के साथ संचार स्थापित करता है, और चाहे कोई भी आदेश जारी किया गया हो या कोई अतिरिक्त डेटा प्रेषित किया गया हो, भेजा गया प्रारंभिक पैकेट लगातार 73 बाइट्स आकार का होता है।
ZenRAT को इसके लॉग को सादे पाठ में सर्वर पर प्रसारित करने के लिए अतिरिक्त रूप से कॉन्फ़िगर किया गया है। ये लॉग मैलवेयर द्वारा किए गए सिस्टम जांच की एक श्रृंखला को रिकॉर्ड करते हैं और प्रत्येक मॉड्यूल के निष्पादन की स्थिति के बारे में जानकारी प्रदान करते हैं। यह कार्यक्षमता एक मॉड्यूलर और विस्तार योग्य प्रत्यारोपण के रूप में इसकी भूमिका पर प्रकाश डालती है।
धमकी देने वाले सॉफ़्टवेयर अक्सर उन फ़ाइलों के माध्यम से वितरित किए जाते हैं जो प्रामाणिक एप्लिकेशन इंस्टॉलर होने का दिखावा करते हैं। अंतिम उपभोक्ताओं के लिए यह महत्वपूर्ण है कि वे विशेष रूप से प्रतिष्ठित स्रोतों से सॉफ़्टवेयर डाउनलोड करके सावधानी बरतें और यह सत्यापित करें कि सॉफ़्टवेयर डाउनलोड होस्ट करने वाले डोमेन आधिकारिक वेबसाइट से जुड़े डोमेन से मेल खाते हैं। इसके अतिरिक्त, व्यक्तियों को खोज इंजन परिणामों में विज्ञापन देखते समय सावधानी बरतनी चाहिए, क्योंकि यह विशेष रूप से पिछले वर्ष में इस प्रकार के संक्रमण का एक महत्वपूर्ण स्रोत बनकर उभरा है।