Malware ZenRAT

Una nuova e preoccupante variante del malware nota come ZenRAT è emersa nel panorama digitale. Questo malware viene diffuso tramite pacchetti di installazione ingannevoli mascherati da legittimo software di gestione delle password. Vale la pena notare che ZenRAT concentra le sue attività dannose principalmente sugli utenti del sistema operativo Windows. Per filtrare le vittime, gli utenti di altri sistemi verranno reindirizzati a pagine Web innocue.

Gli esperti di sicurezza informatica hanno esaminato e documentato diligentemente questa minaccia emergente in un rapporto tecnico completo. Secondo la loro analisi, ZenRAT rientra nella categoria dei trojan modulari di accesso remoto (RAT). Inoltre, mostra la capacità di esfiltrare furtivamente informazioni sensibili dai dispositivi infetti, intensificando i potenziali rischi che pone alle vittime e alle organizzazioni.

ZenRAT si pone come un legittimo gestore di password

ZenRAT è nascosto all'interno di siti Web contraffatti, spacciandosi falsamente per applicazioni legittime. Il metodo con cui il traffico viene incanalato verso questi domini ingannevoli rimane incerto. Storicamente, questa forma di malware è stata diffusa attraverso una varietà di mezzi, tra cui attacchi di phishing, malvertising e avvelenamento da SEO.

Il payload recuperato da Crazygameis(dot)com è una versione manomessa del pacchetto di installazione standard, che contiene un eseguibile .NET dannoso denominato ApplicationRuntimeMonitor.exe.

Un aspetto intrigante di questa campagna è che gli utenti che inavvertitamente accedono al sito Web fraudolento da sistemi non Windows vengono reindirizzati a un articolo duplicato di opensource.com, originariamente pubblicato a marzo 2018. Inoltre, gli utenti Windows che fanno clic sui collegamenti di download designati per Linux o macOS nella pagina Download vengono reindirizzati al sito Web ufficiale del programma legittimo.

Un’infezione ZenRAT può avere conseguenze devastanti

Una volta attivato, ZenRAT raccoglie informazioni sul sistema host, inclusi tipo di CPU, modello GPU, versione del sistema operativo, credenziali del browser e un elenco di applicazioni installate e software di sicurezza. Questi dati vengono quindi inviati a un server Command-and-Control (C2) gestito dagli autori delle minacce, che ha l'indirizzo IP 185.186.72[.]14.

Il client stabilisce la comunicazione con il server C2 e, indipendentemente dal comando emesso o da eventuali dati aggiuntivi trasmessi, il pacchetto iniziale inviato ha una dimensione costante di 73 byte.

ZenRAT è inoltre configurato per trasmettere i suoi log al server in testo semplice. Questi log registrano una serie di controlli di sistema eseguiti dal malware e forniscono informazioni sullo stato di esecuzione di ciascun modulo. Questa funzionalità evidenzia il suo ruolo di impianto modulare ed espandibile.

Il software minaccioso viene spesso distribuito tramite file che fingono di essere autentici programmi di installazione di applicazioni. È fondamentale che i consumatori finali prestino cautela scaricando software esclusivamente da fonti affidabili e verificando che i domini che ospitano i download di software corrispondano a quelli associati al sito Web ufficiale. Inoltre, le persone dovrebbero prestare attenzione quando incontrano annunci pubblicitari nei risultati dei motori di ricerca, poiché questi sono emersi come una fonte significativa di infezioni di questo tipo, in particolare nell'ultimo anno.