Škodlivý softvér ZenRAT

V digitálnom prostredí sa objavil nový a zaujímavý variant škodlivého softvéru známy ako ZenRAT. Tento malvér sa šíri prostredníctvom klamlivých inštalačných balíkov, ktoré sa tvária ako legitímny softvér na správu hesiel. Stojí za zmienku, že ZenRAT primárne zameriava svoje škodlivé aktivity na používateľov operačného systému Windows. Aby sa odfiltrovali jeho obete, používatelia na iných systémoch budú presmerovaní na neškodné webové stránky.

Odborníci na kybernetickú bezpečnosť túto vznikajúcu hrozbu usilovne preskúmali a zdokumentovali v komplexnej technickej správe. Podľa ich analýzy patrí ZenRAT do kategórie modulárnych trójskych koní so vzdialeným prístupom (RAT). Okrem toho vykazuje schopnosť tajne prenikať citlivé informácie z infikovaných zariadení, čím sa zintenzívňujú potenciálne riziká, ktoré predstavuje pre obete a organizácie.

ZenRAT vystupuje ako legitímny správca hesiel

ZenRAT je ukrytý na falošných webových stránkach, ktoré sa falošne vydávajú za webové stránky pre legitímnu aplikáciu. Metóda, ktorou je návštevnosť presmerovaná do týchto klamlivých domén, zostáva neistá. Historicky bola táto forma malvéru šírená rôznymi spôsobmi, vrátane phishingu, malvertisingu a útokov na otravu SEO.

Užitočná časť získaná z crazygameis(dot)com je sfalšovaná verzia štandardného inštalačného balíka, ktorý obsahuje škodlivý spustiteľný súbor .NET s názvom ApplicationRuntimeMonitor.exe.

Zaujímavým aspektom tejto kampane je, že používatelia, ktorí sa neúmyselne dostanú na podvodnú webovú stránku zo systémov iných ako Windows, sú presmerovaní na duplicitný článok z opensource.com, ktorý bol pôvodne publikovaný v marci 2018. Okrem toho používatelia Windowsu, ktorí kliknú na odkazy na stiahnutie určené pre Linux alebo macOS na stránke Downloads sú presmerované na oficiálnu webovú stránku legitímneho programu.

Infekcia ZenRAT môže mať zničujúce následky

Po aktivácii ZenRAT zhromažďuje informácie o hostiteľskom systéme vrátane typu CPU, modelu GPU, verzie operačného systému, poverení prehliadača a zoznamu nainštalovaných aplikácií a bezpečnostného softvéru. Tieto údaje sa potom odošlú na server Command-and-Control (C2) prevádzkovaný aktérmi hrozby, ktorý má IP adresu 185.186.72[.]14.

Klient nadviaže komunikáciu so serverom C2 a bez ohľadu na vydaný príkaz alebo akékoľvek ďalšie prenesené dáta, počiatočný odoslaný paket má konzistentne veľkosť 73 bajtov.

ZenRAT je navyše nakonfigurovaný tak, aby prenášal svoje protokoly na server vo forme obyčajného textu. Tieto protokoly zaznamenávajú sériu systémových kontrol vykonaných malvérom a poskytujú informácie o stave vykonávania každého modulu. Táto funkcia zdôrazňuje jeho úlohu modulárneho a rozšíriteľného implantátu.

Hrozivý softvér sa často distribuuje prostredníctvom súborov, ktoré sa tvária ako autentické inštalátory aplikácií. Pre konečných spotrebiteľov je mimoriadne dôležité, aby boli opatrní pri sťahovaní softvéru výlučne z renomovaných zdrojov a overovaní, či sa domény, na ktorých sa sťahuje softvér, zhodujú s doménami spojenými s oficiálnou webovou stránkou. Okrem toho by jednotlivci mali byť opatrní, keď sa stretávajú s reklamami vo výsledkoch vyhľadávačov, pretože sa to ukázalo ako významný zdroj infekcií tohto druhu, najmä v minulom roku.