ZenRAT-Malware wird durch Spoofing einer legitimen App verbreitet

Eine neue Art von Schadsoftware namens ZenRAT ist in freier Wildbahn aufgetaucht. Die Verbreitung erfolgt über betrügerische Installationspakete, die eine legitime Passwort-Manager-Anwendung nachahmen.

Das Unternehmenssicherheitsunternehmen Proofpoint hat berichtet, dass ZenRAT speziell Windows-Benutzer ins Visier nimmt und Benutzer anderer Betriebssysteme auf harmlose Webseiten umleitet. Bei dieser Malware handelt es sich um einen modularen Fernzugriffstrojaner (RAT), der Informationen stehlen kann.

ZenRAT wird auf gefälschten Websites gefunden, die vorgeben, mit der Original-App in Verbindung zu stehen. Es ist unklar, mit welchen Mitteln der Datenverkehr auf diese Domänen geleitet wird. In der Vergangenheit wurde ähnliche Malware durch Methoden wie Phishing, Malvertising oder SEO-Poisoning-Angriffe verbreitet.

Bei der Nutzlast, die von Crazygameis[.]com heruntergeladen werden kann, handelt es sich um eine manipulierte Version des Standard-App-Installationspakets, die eine schädliche ausführbare .NET-Datei namens ApplicationRuntimeMonitor.exe enthält.

Ein interessanter Aspekt dieser Kampagne besteht darin, dass Nicht-Windows-Benutzer, die die betrügerische Website besuchen, zu einem geklonten Artikel von opensource.com weitergeleitet werden, der im März 2018 veröffentlicht wurde und sich mit der Verwaltung von Passwörtern mithilfe legitimer Tools beschäftigt. Unterdessen werden Windows-Benutzer, die auf der Download-Seite auf Download-Links mit der Bezeichnung „Linux“ oder „MacOS“ klicken, zur Website der legitimen App weitergeleitet.

ZenRAT versucht, sich zu tarnen

Eine Untersuchung der Metadaten des Installationsprogramms zeigt, dass der Bedrohungsakteur versucht hat, die Malware als Speccy zu tarnen, ein kostenloses Windows-Dienstprogramm zur Anzeige von Hardware- und Softwareinformationen.

Die zum Signieren der ausführbaren Datei verwendete digitale Signatur ist nicht nur ungültig, sondern behauptet auch fälschlicherweise, sie sei von Tim Kosse signiert worden, einem bekannten deutschen Informatiker, der für die Entwicklung der kostenlosen plattformübergreifenden FTP-Software FileZilla bekannt ist.

Beim Start sammelt ZenRAT Informationen über den Host, einschließlich CPU- und GPU-Details, die Betriebssystemversion, Browser-Anmeldeinformationen, installierte Anwendungen und Sicherheitssoftware. Diese Informationen werden an einen Command-and-Control-Server (C2) (185.186.72[.]14) gesendet, der von den Bedrohungsakteuren betrieben wird.

Proofpoint erklärt, dass der Client die Kommunikation mit dem C2-Server initiiert und das erste gesendete Paket durchweg 73 Byte groß ist. ZenRAT ist so konfiguriert, dass es seine Protokolle im Klartext an den Server überträgt, der verschiedene von der Malware durchgeführte Systemprüfungen und den Status der Ausführung jedes Moduls erfasst. Dies unterstreicht seine Funktionalität als „modulares, erweiterbares Implantat“.