Malware ZenRAT distribuido mediante aplicación legítima de suplantación de identidad
Ha surgido un nuevo tipo de software malicioso conocido como ZenRAT. Se distribuye a través de paquetes de instalación engañosos que imitan una aplicación legítima de administrador de contraseñas.
La empresa de seguridad empresarial Proofpoint ha informado que ZenRAT se dirige específicamente a los usuarios de Windows y redirige a los usuarios de otros sistemas operativos a páginas web inofensivas. Este malware es un troyano modular de acceso remoto (RAT) capaz de robar información.
ZenRAT se encuentra en sitios web falsificados que pretenden estar afiliados a la aplicación genuina. Los medios por los que se dirige el tráfico a estos dominios no están claros. En el pasado, se ha propagado malware similar mediante métodos como phishing, publicidad maliciosa o ataques de envenenamiento de SEO.
La carga útil, que se puede descargar desde Crazygameis[.]com, es una versión manipulada del paquete de instalación de la aplicación estándar, que contiene un ejecutable .NET malicioso llamado ApplicationRuntimeMonitor.exe.
Un aspecto interesante de esta campaña es que los usuarios que no utilizan Windows y que visitan el sitio web engañoso son redirigidos a un artículo clonado de opensource.com publicado en marzo de 2018 sobre la gestión de contraseñas utilizando herramientas legítimas. Mientras tanto, los usuarios de Windows que hacen clic en los enlaces de descarga etiquetados para Linux o macOS en la página de Descargas son dirigidos al sitio de la aplicación legítima.
ZenRAT intenta disfrazarse
Un examen de los metadatos del instalador muestra que el actor de la amenaza intentó disfrazar el malware como Speccy, una utilidad gratuita de Windows para mostrar información de hardware y software.
La firma digital utilizada para firmar el ejecutable no sólo no es válida sino que también afirma falsamente estar firmada por Tim Kosse, un conocido científico informático alemán conocido por crear el software FTP multiplataforma gratuito FileZilla.
Al iniciarse, ZenRAT recopila información sobre el host, incluidos detalles de CPU y GPU, la versión del sistema operativo, credenciales del navegador, aplicaciones instaladas y software de seguridad. Esta información se envía a un servidor de comando y control (C2) (185.186.72[.]14) operado por los actores de la amenaza.
Proofpoint explica que el cliente inicia la comunicación con el servidor C2 y el primer paquete enviado tiene constantemente un tamaño de 73 bytes. ZenRAT está configurado para transmitir sus registros al servidor en texto sin formato, que captura varias comprobaciones del sistema realizadas por el malware y el estado de ejecución de cada módulo. Esto resalta su funcionalidad como un "implante modular y expandible".
