Logiciel malveillant ZenRAT distribué par une application légitime d'usurpation d'identité

Un nouveau type de logiciel malveillant connu sous le nom de ZenRAT a fait son apparition. Il est distribué via des packages d'installation trompeurs qui imitent une application légitime de gestion de mots de passe.

La société de sécurité d'entreprise Proofpoint a signalé que ZenRAT cible spécifiquement les utilisateurs Windows et redirige les utilisateurs d'autres systèmes d'exploitation vers des pages Web inoffensives. Ce malware est un cheval de Troie d'accès à distance (RAT) modulaire capable de voler des informations.

ZenRAT se trouve sur des sites Web contrefaits prétendant être affiliés à la véritable application. Les moyens par lesquels le trafic est dirigé vers ces domaines ne sont pas clairs. Dans le passé, des logiciels malveillants similaires se sont propagés via des méthodes telles que le phishing, la publicité malveillante ou les attaques d'empoisonnement SEO.

La charge utile, qui peut être téléchargée depuis crazygameis[.]com, est une version falsifiée du package d'installation standard de l'application, contenant un exécutable .NET malveillant appelé ApplicationRuntimeMonitor.exe.

Un aspect intéressant de cette campagne est que les utilisateurs non-Windows qui visitent le site Web trompeur sont redirigés vers un article cloné d'opensource.com publié en mars 2018 sur la gestion des mots de passe à l'aide d'outils légitimes. Pendant ce temps, les utilisateurs Windows qui cliquent sur les liens de téléchargement marqués pour Linux ou macOS sur la page Téléchargements sont dirigés vers le site de l'application légitime.

ZenRAT tente de se déguiser

Un examen des métadonnées du programme d'installation montre que l'auteur de la menace a tenté de déguiser le malware en Speccy, un utilitaire Windows gratuit permettant d'afficher des informations sur le matériel et les logiciels.

La signature numérique utilisée pour signer l'exécutable est non seulement invalide, mais prétend également faussement avoir été signée par Tim Kosse, un informaticien allemand bien connu connu pour avoir créé le logiciel FTP multiplateforme gratuit FileZilla.

Lors du lancement, ZenRAT collecte des informations sur l'hôte, notamment les détails du CPU et du GPU, la version du système d'exploitation, les informations d'identification du navigateur, les applications installées et les logiciels de sécurité. Ces informations sont envoyées à un serveur de commande et de contrôle (C2) (185.186.72[.]14) exploité par les acteurs malveillants.

Proofpoint explique que le client initie la communication avec le serveur C2 et que le premier paquet envoyé a systématiquement une taille de 73 octets. ZenRAT est configuré pour transmettre ses journaux au serveur en texte brut, qui capture diverses vérifications du système effectuées par le malware et l'état d'exécution de chaque module. Cela met en valeur sa fonctionnalité en tant qu'« implant modulaire et extensible ».