Malware ZenRAT distribuito tramite app legittima di spoofing

Un nuovo tipo di software dannoso noto come ZenRAT è emerso in natura. Viene distribuito tramite pacchetti di installazione ingannevoli che imitano un'applicazione di gestione password legittima.

La società di sicurezza aziendale Proofpoint ha riferito che ZenRAT prende di mira specificamente gli utenti Windows e reindirizza gli utenti su altri sistemi operativi a pagine Web innocue. Questo malware è un trojan di accesso remoto modulare (RAT) in grado di rubare informazioni.

ZenRAT si trova su siti Web contraffatti che fingono di essere affiliati all'app originale. Il mezzo con cui il traffico viene indirizzato a questi domini non è chiaro. In passato, malware simili venivano diffusi attraverso metodi come attacchi di phishing, malvertising o SEO Poisoning.

Il payload, che può essere scaricato da Crazygameis[.]com, è una versione manomessa del pacchetto di installazione standard dell'app, contenente un eseguibile .NET dannoso chiamato ApplicationRuntimeMonitor.exe.

Un aspetto interessante di questa campagna è che gli utenti non Windows che visitano il sito Web ingannevole vengono reindirizzati a un articolo clonato di opensource.com pubblicato nel marzo 2018 sulla gestione delle password utilizzando strumenti legittimi. Nel frattempo, gli utenti Windows che fanno clic sui collegamenti di download etichettati per Linux o macOS nella pagina Download vengono indirizzati al sito dell'app legittima.

ZenRAT tenta di camuffarsi

Un esame dei metadati del programma di installazione mostra che l'autore della minaccia ha tentato di mascherare il malware come Speccy, un'utilità Windows gratuita per la visualizzazione di informazioni su hardware e software.

La firma digitale utilizzata per firmare l'eseguibile non solo non è valida, ma dichiara anche falsamente di essere firmata da Tim Kosse, un noto informatico tedesco noto per aver creato il software FTP multipiattaforma gratuito FileZilla.

All'avvio, ZenRAT raccoglie informazioni sull'host, inclusi i dettagli di CPU e GPU, la versione del sistema operativo, le credenziali del browser, le applicazioni installate e il software di sicurezza. Queste informazioni vengono inviate a un server di comando e controllo (C2) (185.186.72[.]14) gestito dagli autori delle minacce.

Proofpoint spiega che il client avvia la comunicazione con il server C2 e il primo pacchetto inviato ha una dimensione costante di 73 byte. ZenRAT è configurato per trasmettere i suoi log al server in testo semplice, che cattura vari controlli di sistema eseguiti dal malware e lo stato di esecuzione di ciascun modulo. Ciò evidenzia la sua funzionalità come "impianto modulare ed espandibile".