ZenRAT kenkėjiška programa

Skaitmeniniame pasaulyje pasirodė naujas ir pavojingas kenkėjiškų programų variantas, žinomas kaip ZenRAT. Ši kenkėjiška programa platinama naudojant apgaulingus diegimo paketus, kurie pridengiami teisėta slaptažodžių tvarkyklės programine įranga. Verta paminėti, kad ZenRAT savo kenkėjišką veiklą pirmiausia skiria Windows operacinės sistemos vartotojams. Siekiant išfiltruoti jo aukas, kitų sistemų vartotojai bus nukreipti į nekenksmingus tinklalapius.

Kibernetinio saugumo ekspertai kruopščiai ištyrė ir dokumentavo šią kylančią grėsmę išsamioje techninėje ataskaitoje. Remiantis jų analize, ZenRAT patenka į modulinių nuotolinės prieigos trojos arklių (RAT) kategoriją. Be to, jis turi galimybę slaptai išfiltruoti neskelbtiną informaciją iš užkrėstų įrenginių, taip padidinant galimą pavojų, kurį ji kelia aukoms ir organizacijoms.

ZenRAT yra teisėtas slaptažodžių tvarkytuvas

„ZenRAT“ yra paslėptas padirbtose svetainėse, klaidingai apsimetant teisėtos programos svetainėmis. Metodas, kuriuo srautas nukreipiamas į šias apgaulingas sritis, lieka neaiškus. Istoriškai šios rūšies kenkėjiškos programos buvo platinamos įvairiomis priemonėmis, įskaitant sukčiavimą, kenkėjišką reklamą ir SEO apsinuodijimo atakas.

Naudingoji apkrova, gauta iš crazygameis(dot)com, yra sugadinta standartinio diegimo paketo versija, kurioje yra kenkėjiška .NET vykdomoji programa, pavadinta ApplicationRuntimeMonitor.exe.

Intriguojantis šios kampanijos aspektas yra tai, kad vartotojai, kurie netyčia patenka į apgaulingą svetainę iš ne Windows sistemų, yra nukreipiami į pasikartojantį straipsnį iš opensource.com, kuris iš pradžių buvo paskelbtas 2018 m. kovo mėn. Be to, Windows vartotojai, spustelėję atsisiuntimo nuorodas, skirtas Linux. arba macOS atsisiuntimų puslapyje nukreipiami į oficialią teisėtos programos svetainę.

ZenRAT infekcija gali turėti niokojančių pasekmių

Suaktyvintas ZenRAT renka informaciją apie pagrindinę sistemą, įskaitant procesoriaus tipą, GPU modelį, operacinės sistemos versiją, naršyklės kredencialus ir įdiegtų programų bei saugos programinės įrangos sąrašą. Tada šie duomenys siunčiami į komandų ir valdymo (C2) serverį, kurį valdo grėsmės veikėjai, kurio IP adresas yra 185.186.72[.]14.

Klientas užmezga ryšį su C2 serveriu ir, neatsižvelgiant į pateiktą komandą ar bet kokius papildomus perduodamus duomenis, pradinis siunčiamas paketas yra nuolat 73 baitų dydžio.

ZenRAT yra papildomai sukonfigūruotas perduoti savo žurnalus į serverį paprastu tekstu. Šiuose žurnaluose įrašoma daugybė sistemos patikrinimų, kuriuos atliko kenkėjiška programa, ir pateikiama informacija apie kiekvieno modulio vykdymo būseną. Ši funkcija pabrėžia jo, kaip modulinio ir išplečiamo implanto, vaidmenį.

Grėsminga programinė įranga dažnai platinama per failus, kurie apsimeta autentiškais programų diegimo įrenginiais. Labai svarbu, kad galutiniai vartotojai būtų atsargūs ir atsisiųstų programinę įrangą tik iš patikimų šaltinių ir patikrintų, ar domenai, kuriuose yra programinės įrangos atsisiuntimai, atitinka domenus, susijusius su oficialia svetaine. Be to, asmenys turėtų būti atsargūs, kai paieškos sistemos rezultatuose susiduria su skelbimais, nes tai buvo svarbus tokio pobūdžio infekcijų šaltinis, ypač praėjusiais metais.