A ZenRAT rosszindulatú programokat a Spoofing Legitimate App terjeszti

A ZenRAT néven ismert új típusú rosszindulatú szoftverek megjelentek a vadonban. Megtévesztő telepítőcsomagokon keresztül terjesztik, amelyek egy legitim jelszókezelő alkalmazást utánoznak.

A Proofpoint vállalati biztonsági cég arról számolt be, hogy a ZenRAT kifejezetten a Windows-felhasználókat célozza meg, és más operációs rendszereken használókat ártalmatlan weboldalakra irányítja át. Ez a rosszindulatú program egy moduláris távoli hozzáférésű trójai (RAT), amely képes információkat lopni.

A ZenRAT hamisított webhelyeken található, amelyek úgy tesznek, mintha kapcsolatban állnak az eredeti alkalmazással. Nem világos, hogy milyen módon irányítják a forgalmat ezekre a tartományokra. Korábban a hasonló rosszindulatú programokat olyan módszerekkel terjesztették, mint az adathalászat, a rosszindulatú hirdetések vagy a SEO-mérgező támadások.

A crazygameis[.]com oldalról letölthető rakomány a szabványos alkalmazástelepítő csomag manipulált verziója, amely egy ApplicationRuntimeMonitor.exe nevű rosszindulatú .NET végrehajtható fájlt tartalmaz.

A kampány érdekes aspektusa, hogy a megtévesztő webhelyet felkereső, nem Windows rendszerű felhasználókat átirányítják az opensource.com egy 2018 márciusában megjelent klónozott cikkére, amely a jelszavak törvényes eszközökkel történő kezeléséről szól. Eközben azok a Windows-felhasználók, akik a Letöltések oldalon a Linux vagy macOS feliratú letöltési hivatkozásokra kattintanak, a legális alkalmazás webhelyére kerülnek.

A ZenRAT megpróbálja álcázni magát

A telepítő metaadatainak vizsgálata azt mutatja, hogy a fenyegetőző megpróbálta a kártevőt Speccy néven álcázni, amely egy ingyenes Windows-segédprogram hardver- és szoftverinformációk megjelenítésére.

A végrehajtható fájl aláírására használt digitális aláírás nemcsak érvénytelen, hanem hamisan azt állítja, hogy Tim Kosse, egy jól ismert német informatikus írta alá az ingyenes, többplatformos FileZilla FTP-szoftvert.

Indításkor a ZenRAT információkat gyűjt a gazdagépről, beleértve a CPU és GPU adatait, az operációs rendszer verzióját, a böngésző hitelesítő adatait, a telepített alkalmazásokat és a biztonsági szoftvereket. Ezt az információt a fenyegetés szereplői által üzemeltetett parancs- és vezérlő (C2) szerverre küldik el (185.186.72[.]14).

A Proofpoint elmagyarázza, hogy a kliens kommunikációt kezdeményez a C2 szerverrel, és az első elküldött csomag következetesen 73 bájt méretű. A ZenRAT úgy van beállítva, hogy naplóit egyszerű szövegben továbbítsa a szervernek, amely rögzíti a kártevő által végrehajtott különféle rendszerellenőrzéseket és az egyes modulok végrehajtásának állapotát. Ez kiemeli a „moduláris, bővíthető implantátum” funkcióját.