ZenRAT Malware distribueret af Spoofing Legitimate App

En ny type ondsindet software kendt som ZenRAT er dukket op i naturen. Det distribueres gennem vildledende installationspakker, der efterligner en legitim adgangskodehåndteringsapplikation.

Enterprise-sikkerhedsfirmaet Proofpoint har rapporteret, at ZenRAT specifikt retter sig mod Windows-brugere og omdirigerer brugere på andre operativsystemer til harmløse websider. Denne malware er en modulær remote access trojan (RAT), der er i stand til at stjæle information.

ZenRAT findes på forfalskede websteder, der udgiver sig for at være tilknyttet den ægte app. Det er uklart, hvordan trafikken dirigeres til disse domæner. Tidligere er lignende malware blevet spredt gennem metoder som phishing, malvertising eller SEO-forgiftningsangreb.

Nyttelasten, som kan downloades fra crazygameis[.]com, er en manipuleret version af standardappinstallationspakken, der indeholder en ondsindet .NET-eksekverbar fil kaldet ApplicationRuntimeMonitor.exe.

Et interessant aspekt af denne kampagne er, at ikke-Windows-brugere, der besøger det vildledende websted, omdirigeres til en klonet artikel fra opensource.com, der blev offentliggjort i marts 2018 om håndtering af adgangskoder ved hjælp af legitime værktøjer. I mellemtiden bliver Windows-brugere, der klikker på downloadlinks mærket til Linux eller macOS på siden Downloads, dirigeret til den legitime apps websted.

ZenRAT forsøger at skjule sig

En undersøgelse af installationsprogrammets metadata viser, at trusselsaktøren forsøgte at skjule malwaren som Speccy, et gratis Windows-værktøj til visning af hardware- og softwareoplysninger.

Den digitale signatur, der bruges til at signere den eksekverbare, er ikke kun ugyldig, men hævder også fejlagtigt at være underskrevet af Tim Kosse, en velkendt tysk computerforsker kendt for at skabe den gratis cross-platform FTP-software FileZilla.

Ved lancering indsamler ZenRAT oplysninger om værten, herunder CPU- og GPU-detaljer, operativsystemversionen, browserlegitimationsoplysninger, installerede applikationer og sikkerhedssoftware. Disse oplysninger sendes til en kommando-og-kontrol-server (C2) (185.186.72[.]14), som drives af trusselsaktørerne.

Proofpoint forklarer, at klienten initierer kommunikation med C2-serveren, og den første pakke, der sendes, er konsekvent 73 bytes stor. ZenRAT er konfigureret til at sende sine logfiler til serveren i almindelig tekst, som fanger forskellige systemtjek udført af malwaren og status for hvert moduls udførelse. Dette fremhæver dets funktionalitet som et "modulært, udvideligt implantat."