Зловмисне програмне забезпечення ZenRAT

Новий і тривожний варіант шкідливого програмного забезпечення, відомий як ZenRAT, з’явився в цифровому середовищі. Це зловмисне програмне забезпечення поширюється через оманливі інсталяційні пакети, які маскуються під законне програмне забезпечення для керування паролями. Варто зазначити, що ZenRAT зосереджує свою шкідливу діяльність насамперед на користувачах операційної системи Windows. Щоб відфільтрувати своїх жертв, користувачі інших систем будуть перенаправлені на нешкідливі веб-сторінки.

Експерти з кібербезпеки ретельно вивчили та задокументували цю нову загрозу у вичерпному технічному звіті. Згідно з їх аналізом, ZenRAT відноситься до категорії модульних троянів віддаленого доступу (RAT). Крім того, він демонструє здатність непомітно вилучати конфіденційну інформацію із заражених пристроїв, посилюючи потенційні ризики, які він становить для жертв і організацій.

ZenRAT представляє себе як законний менеджер паролів

ZenRAT прихований на підроблених веб-сайтах, які фальшиво видають себе за сайти законної програми. Метод, за допомогою якого трафік спрямовується на ці оманливі домени, залишається невизначеним. Історично склалося так, що ця форма зловмисного програмного забезпечення поширювалася різними способами, включаючи фішинг, шкідливу рекламу та атаки з отруєнням SEO.

Корисне навантаження, отримане з crazygameis(dot)com, є підробленою версією стандартного інсталяційного пакета, що містить шкідливий виконуваний файл .NET під назвою ApplicationRuntimeMonitor.exe.

Інтригуючим аспектом цієї кампанії є те, що користувачі, які ненавмисно потрапляють на шахрайський веб-сайт із систем, відмінних від Windows, перенаправляються на дубліковану статтю з opensource.com, спочатку опубліковану в березні 2018 року. Крім того, користувачі Windows, які натискають посилання для завантаження, призначені для Linux або macOS на сторінці завантажень перенаправляються на офіційний веб-сайт законної програми.

Зараження ZenRAT може мати руйнівні наслідки

Після активації ZenRAT збирає інформацію про хост-систему, включаючи тип центрального процесора, модель графічного процесора, версію операційної системи, облікові дані браузера та список встановлених програм і програмного забезпечення безпеки. Потім ці дані надсилаються на сервер командування та керування (C2), яким керують зловмисники, який має IP-адресу 185.186.72[.]14.

Клієнт встановлює зв’язок із сервером C2, і, незалежно від виданої команди чи будь-яких додаткових переданих даних, розмір початкового надісланого пакета постійно становить 73 байти.

ZenRAT додатково налаштований на передачу своїх журналів на сервер у вигляді звичайного тексту. Ці журнали записують серію системних перевірок, які виконує зловмисне програмне забезпечення, і надають інформацію про статус виконання кожного модуля. Ця функція підкреслює його роль як модульного імплантату, що розширюється.

Загрозливе програмне забезпечення часто поширюється через файли, які видають себе за справжні інсталятори програм. Кінцевим споживачам важливо проявляти обережність, завантажуючи програмне забезпечення виключно з авторитетних джерел і перевіряючи, чи домени, де розміщено завантаження програмного забезпечення, збігаються з доменами, пов’язаними з офіційним веб-сайтом. Крім того, люди повинні проявляти обережність, зустрічаючи рекламу в результатах пошукової системи, оскільки це стало значним джерелом інфекцій такого роду, особливо в минулому році.