Вредоносное ПО ZenRAT

В цифровой среде появился новый и вызывающий беспокойство вариант вредоносного ПО, известный как ZenRAT. Это вредоносное ПО распространяется через мошеннические установочные пакеты, маскирующиеся под легальное программное обеспечение менеджера паролей. Стоит отметить, что ZenRAT в первую очередь ориентирует свою вредоносную деятельность на пользователей операционной системы Windows. Чтобы отфильтровать жертв, пользователи других систем будут перенаправлены на безобидные веб-страницы.

Эксперты по кибербезопасности тщательно изучили и задокументировали эту возникающую угрозу в подробном техническом отчете. Согласно их анализу, ZenRAT относится к категории модульных троянов удаленного доступа (RAT). Более того, он демонстрирует способность скрытно похищать конфиденциальную информацию с зараженных устройств, что усиливает потенциальные риски, которые он представляет для жертв и организаций.

ZenRAT выдает себя за настоящий менеджер паролей

ZenRAT скрывается на поддельных веб-сайтах, ложно выдавая себя за сайты легального приложения. Метод, с помощью которого трафик направляется на эти обманные домены, остается неопределенным. Исторически эта форма вредоносного ПО распространялась различными способами, включая фишинг, вредоносную рекламу и атаки с использованием SEO-отравления.

Полезная нагрузка, полученная с сайта madgameis(dot)com, представляет собой измененную версию стандартного установочного пакета, содержащую вредоносный исполняемый файл .NET с именем ApplicationRuntimeMonitor.exe.

Интригующим аспектом этой кампании является то, что пользователи, которые случайно попадают на мошеннический веб-сайт из систем, отличных от Windows, перенаправляются на дублированную статью с сайта opensource.com, первоначально опубликованную в марте 2018 года. Кроме того, пользователи Windows, которые нажимают на ссылки для скачивания, предназначенные для Linux или macOS на странице «Загрузки» перенаправляются на официальный сайт легальной программы.

Заражение ZenRAT может иметь разрушительные последствия

После активации ZenRAT собирает информацию о хост-системе, включая тип процессора, модель графического процессора, версию операционной системы, учетные данные браузера, а также список установленных приложений и программного обеспечения безопасности. Затем эти данные отправляются на сервер управления и контроля (C2), управляемый злоумышленниками, который имеет IP-адрес 185.186.72[.]14.

Клиент устанавливает связь с сервером C2, и независимо от выданной команды или каких-либо дополнительных данных исходный отправленный пакет имеет постоянный размер 73 байта.

ZenRAT дополнительно настроен на передачу своих логов на сервер в виде обычного текста. Эти журналы записывают серию системных проверок, выполняемых вредоносным ПО, и предоставляют информацию о статусе выполнения каждого модуля. Эта функциональность подчеркивает его роль модульного и расширяемого имплантата.

Угрожающее программное обеспечение часто распространяется через файлы, выдающие себя за подлинные установщики приложений. Конечным потребителям крайне важно проявлять осторожность, загружая программное обеспечение исключительно из надежных источников и проверяя, соответствуют ли домены, на которых размещается загрузка программного обеспечения, тем, которые связаны с официальным веб-сайтом. Кроме того, людям следует проявлять осторожность при обнаружении рекламных объявлений в результатах поисковых систем, поскольку они стали важным источником заражений такого рода, особенно в прошлом году.