正規アプリになりすまして配布される ZenRAT マルウェア

ZenRAT として知られる新しいタイプの悪意のあるソフトウェアが世に出回りました。これは、正規のパスワード マネージャー アプリケーションを模倣した不正なインストール パッケージを通じて配布されます。

エンタープライズ セキュリティ企業 Proofpoint は、ZenRAT が特に Windows ユーザーをターゲットにしており、他のオペレーティング システムを使用しているユーザーを無害な Web ページにリダイレクトしていると報告しました。このマルウェアは、情報を盗むことができるモジュール式のリモート アクセス トロイの木馬 (RAT) です。

ZenRAT は、正規のアプリとの関係を装った偽の Web サイトで発見されています。トラフィックがこれらのドメインに送信される手段は不明です。過去には、同様のマルウェアがフィッシング、マルバタイジング、SEO ポイズニング攻撃などの方法で拡散されました。

crazygameis[.]com からダウンロードできるペイロードは、標準アプリ インストール パッケージの改ざんされたバージョンで、ApplicationRuntimeMonitor.exe と呼ばれる悪意のある .NET 実行可能ファイルが含まれています。

このキャンペーンの興味深い点は、偽の Web サイトにアクセスした Windows 以外のユーザーが、正規のツールを使用したパスワード管理に関する 2018 年 3 月に公開された opensource.com のクローン記事にリダイレクトされることです。一方、Windows ユーザーがダウンロード ページで Linux または macOS 用のラベルが付いたダウンロード リンクをクリックすると、正規のアプリのサイトにリダイレクトされます。

ZenRAT が自身を偽装しようとする

インストーラーのメタデータを調査したところ、攻撃者がマルウェアを、ハードウェアとソフトウェアの情報を表示する無料の Windows ユーティリティである Speccy に偽装しようとしたことがわかりました。

実行可能ファイルの署名に使用されたデジタル署名は無効であるだけでなく、無料のクロスプラットフォーム FTP ソフトウェア FileZilla の作成で知られるドイツの著名なコンピュータ科学者 Tim Kosse によって署名されたと誤って主張しています。

ZenRAT は起動時に、CPU と GPU の詳細、オペレーティング システムのバージョン、ブラウザの資格情報、インストールされているアプリケーション、セキュリティ ソフトウェアなどのホストに関する情報を収集します。この情報は、攻撃者が運用するコマンドアンドコントロール (C2) サーバー (185.186.72[.]14) に送信されます。

Proofpoint は、クライアントが C2 サーバーとの通信を開始し、送信される最初のパケットのサイズは一貫して 73 バイトであると説明しています。 ZenRAT は、ログをプレーン テキストでサーバーに送信するように構成されており、マルウェアによって実行されるさまざまなシステム チェックと各モジュールの実行ステータスがキャプチャされます。これは、「モジュール式の拡張可能なインプラント」としての機能を強調しています。