Κακόβουλο λογισμικό ZenRAT Διανέμεται από την Spoofing Legitimate App

Ένας νέος τύπος κακόβουλου λογισμικού γνωστό ως ZenRAT εμφανίστηκε στη φύση. Διανέμεται μέσω παραπλανητικών πακέτων εγκατάστασης που μιμούνται μια νόμιμη εφαρμογή διαχείρισης κωδικών πρόσβασης.

Η εταιρεία ασφάλειας επιχειρήσεων Proofpoint ανέφερε ότι το ZenRAT στοχεύει συγκεκριμένα χρήστες Windows και ανακατευθύνει τους χρήστες άλλων λειτουργικών συστημάτων σε αβλαβείς ιστοσελίδες. Αυτό το κακόβουλο λογισμικό είναι ένα αρθρωτό trojan απομακρυσμένης πρόσβασης (RAT) ικανό να κλέβει πληροφορίες.

Το ZenRAT βρίσκεται σε πλαστές ιστοσελίδες που προσποιούνται ότι συνδέονται με την αυθεντική εφαρμογή. Τα μέσα με τα οποία η επισκεψιμότητα κατευθύνεται σε αυτούς τους τομείς είναι ασαφή. Στο παρελθόν, παρόμοιο κακόβουλο λογισμικό έχει εξαπλωθεί μέσω μεθόδων όπως το phishing, η κακόβουλη διαφήμιση ή οι επιθέσεις δηλητηρίασης SEO.

Το ωφέλιμο φορτίο, το οποίο μπορεί να ληφθεί από το crazygameis[.]com, είναι μια παραποιημένη έκδοση του τυπικού πακέτου εγκατάστασης εφαρμογής, που περιέχει ένα κακόβουλο εκτελέσιμο αρχείο .NET που ονομάζεται ApplicationRuntimeMonitor.exe.

Μια ενδιαφέρουσα πτυχή αυτής της καμπάνιας είναι ότι οι χρήστες που δεν είναι Windows που επισκέπτονται τον παραπλανητικό ιστότοπο ανακατευθύνονται σε ένα κλωνοποιημένο άρθρο από το opensource.com που δημοσιεύτηκε τον Μάρτιο του 2018 σχετικά με τη διαχείριση κωδικών πρόσβασης με χρήση νόμιμων εργαλείων. Εν τω μεταξύ, οι χρήστες των Windows που κάνουν κλικ σε συνδέσμους λήψης με ετικέτα για Linux ή macOS στη σελίδα Λήψεις κατευθύνονται στον ιστότοπο της νόμιμης εφαρμογής.

Το ZenRAT προσπαθεί να συγκαλύψει τον εαυτό του

Μια εξέταση των μεταδεδομένων του προγράμματος εγκατάστασης δείχνει ότι ο παράγοντας απειλής προσπάθησε να συγκαλύψει το κακόβουλο λογισμικό ως Speccy, ένα δωρεάν βοηθητικό πρόγραμμα των Windows για την εμφάνιση πληροφοριών υλικού και λογισμικού.

Η ψηφιακή υπογραφή που χρησιμοποιείται για την υπογραφή του εκτελέσιμου αρχείου δεν είναι μόνο άκυρη, αλλά επίσης ισχυρίζεται ψευδώς ότι υπογράφεται από τον Tim Kosse, έναν γνωστό Γερμανό επιστήμονα υπολογιστών, γνωστό για τη δημιουργία του δωρεάν λογισμικού FTP FileZilla για πολλαπλές πλατφόρμες.

Κατά την εκκίνηση, το ZenRAT συλλέγει πληροφορίες σχετικά με τον κεντρικό υπολογιστή, συμπεριλαμβανομένων των στοιχείων CPU και GPU, την έκδοση του λειτουργικού συστήματος, τα διαπιστευτήρια του προγράμματος περιήγησης, τις εγκατεστημένες εφαρμογές και το λογισμικό ασφαλείας. Αυτές οι πληροφορίες αποστέλλονται σε διακομιστή εντολών και ελέγχου (C2) (185.186.72[.]14) που λειτουργεί από τους παράγοντες απειλής.

Το Proofpoint εξηγεί ότι ο πελάτης ξεκινά την επικοινωνία με τον διακομιστή C2 και το πρώτο πακέτο που αποστέλλεται έχει σταθερά μέγεθος 73 byte. Το ZenRAT έχει ρυθμιστεί να μεταδίδει τα αρχεία καταγραφής του στον διακομιστή σε απλό κείμενο, ο οποίος καταγράφει διάφορους ελέγχους συστήματος που εκτελούνται από το κακόβουλο λογισμικό και την κατάσταση της εκτέλεσης κάθε λειτουργικής μονάδας. Αυτό τονίζει τη λειτουργικότητά του ως «αρθρωτού, επεκτάσιμου εμφυτεύματος».