البرامج الضارة ZenRAT

ظهر متغير جديد ومثير للقلق من البرامج الضارة يُعرف باسم ZenRAT في المشهد الرقمي. يتم نشر هذه البرامج الضارة من خلال حزم التثبيت الخادعة التي تتنكر في صورة برنامج شرعي لإدارة كلمات المرور. ومن الجدير بالذكر أن ZenRAT يركز بشكل أساسي على أنشطته الضارة على مستخدمي نظام التشغيل Windows. لتصفية ضحاياه، سيتم إعادة توجيه المستخدمين على الأنظمة الأخرى إلى صفحات ويب غير ضارة.

لقد قام خبراء الأمن السيبراني بفحص وتوثيق هذا التهديد الناشئ بجدية في تقرير فني شامل. وفقًا لتحليلهم، يقع ZenRAT ضمن فئة أحصنة طروادة المعيارية للوصول عن بُعد (RATs). علاوة على ذلك، فهو يُظهر القدرة على استخراج المعلومات الحساسة خلسة من الأجهزة المصابة، مما يزيد من حدة المخاطر المحتملة التي يشكلها على الضحايا والمنظمات.

ZenRAT يتظاهر بأنه مدير كلمات مرور شرعي

يتم إخفاء ZenRAT داخل مواقع الويب المزيفة، حيث يتم التظاهر كذبًا بأنها تلك المواقع المخصصة للتطبيق الشرعي. تظل الطريقة التي يتم من خلالها توجيه حركة المرور إلى هذه النطاقات الخادعة غير مؤكدة. تاريخيًا، تم نشر هذا النوع من البرامج الضارة من خلال مجموعة متنوعة من الوسائل، بما في ذلك هجمات التصيد الاحتيالي والإعلانات الضارة وهجمات تسميم تحسين محركات البحث (SEO).

الحمولة التي تم استردادها من Crazygameis(dot)com هي نسخة تم العبث بها من حزمة التثبيت القياسية، وتحتوي على ملف .NET ضار قابل للتنفيذ يسمى ApplicationRuntimeMonitor.exe.

أحد الجوانب المثيرة للاهتمام في هذه الحملة هو أنه تتم إعادة توجيه المستخدمين الذين وصلوا عن غير قصد إلى موقع الويب الاحتيالي من أنظمة غير Windows إلى مقالة مكررة من opensource.com، تم نشرها في الأصل في مارس 2018. علاوة على ذلك، فإن مستخدمي Windows الذين ينقرون على روابط التنزيل المخصصة لنظام التشغيل Linux أو macOS في صفحة التنزيلات يتم إعادة توجيهها إلى الموقع الرسمي للبرنامج الشرعي.

يمكن أن يكون لعدوى ZenRAT عواقب وخيمة

بمجرد تنشيطه، يقوم ZenRAT بجمع معلومات حول النظام المضيف، بما في ذلك نوع وحدة المعالجة المركزية ونموذج وحدة معالجة الرسومات وإصدار نظام التشغيل وبيانات اعتماد المتصفح وقائمة التطبيقات المثبتة وبرامج الأمان. يتم بعد ذلك إرسال هذه البيانات إلى خادم القيادة والتحكم (C2) الذي تديره الجهات التهديدية، والذي يحمل عنوان IP 185.186.72[.]14.

يقوم العميل بإنشاء اتصال مع خادم C2، وبغض النظر عن الأمر الصادر أو أي بيانات إضافية يتم إرسالها، فإن الحزمة الأولية المرسلة يبلغ حجمها دائمًا 73 بايت.

بالإضافة إلى ذلك، تم تكوين ZenRAT لإرسال سجلاته إلى الخادم بنص عادي. تسجل هذه السجلات سلسلة من عمليات فحص النظام التي تجريها البرامج الضارة وتوفر معلومات حول حالة تنفيذ كل وحدة. تسلط هذه الوظيفة الضوء على دورها كغرسة معيارية وقابلة للتوسيع.

يتم توزيع البرامج التهديدية بشكل متكرر من خلال ملفات تتظاهر بأنها مثبتات تطبيقات أصلية. من الضروري بالنسبة للمستهلكين النهائيين توخي الحذر من خلال تنزيل البرامج حصريًا من مصادر حسنة السمعة والتحقق من تطابق النطاقات التي تستضيف تنزيلات البرامج مع تلك المرتبطة بالموقع الرسمي. بالإضافة إلى ذلك، يجب على الأفراد توخي الحذر عند مواجهة الإعلانات في نتائج محركات البحث، حيث ظهر هذا كمصدر مهم للعدوى من هذا النوع، خاصة في العام الماضي.