„ZenRAT“ kenkėjiška programa, platinama naudojant „Soofing Legitimate App“.

Laukinėje gamtoje pasirodė naujo tipo kenkėjiška programinė įranga, žinoma kaip ZenRAT. Jis platinamas per apgaulingus diegimo paketus, kurie imituoja teisėtą slaptažodžių tvarkyklės programą.

Įmonių saugos įmonė „Proofpoint“ pranešė, kad „ZenRAT“ specialiai taikosi „Windows“ naudotojams ir nukreipia kitų operacinių sistemų naudotojus į nekenksmingus tinklalapius. Ši kenkėjiška programa yra modulinis nuotolinės prieigos Trojos arklys (RAT), galintis pavogti informaciją.

„ZenRAT“ randama padirbtose svetainėse, kurios apsimeta, kad yra susijusios su autentiška programa. Neaiškios priemonės, kuriomis srautas nukreipiamas į šiuos domenus. Anksčiau panašios kenkėjiškos programos buvo platinamos naudojant tokius metodus kaip sukčiavimas, kenkėjiška reklama arba SEO apsinuodijimo atakos.

Naudingoji apkrova, kurią galima atsisiųsti iš crazygameis[.]com, yra sugadinta standartinio programos diegimo paketo versija, kurioje yra kenkėjiškas .NET vykdomasis failas, vadinamas ApplicationRuntimeMonitor.exe.

Įdomus šios kampanijos aspektas yra tai, kad ne „Windows“ naudotojai, apsilankę apgaulingoje svetainėje, yra nukreipiami į klonuotą opensource.com straipsnį, paskelbtą 2018 m. kovo mėn. apie slaptažodžių tvarkymą naudojant teisėtus įrankius. Tuo tarpu „Windows“ naudotojai, atsisiuntimų puslapyje spustelėję „Linux“ arba „MacOS“ pažymėtas atsisiuntimo nuorodas, nukreipiami į teisėtos programos svetainę.

ZenRAT bando užmaskuoti save

Išnagrinėjus diegimo programos metaduomenis matyti, kad grėsmės veikėjas bandė nuslėpti kenkėjišką programą kaip Speccy – nemokamą „Windows“ įrankį, skirtą aparatinės ir programinės įrangos informacijai rodyti.

Skaitmeninis parašas, naudojamas pasirašyti vykdomąjį failą, yra ne tik neteisingas, bet ir klaidingai teigia, kad jį pasirašė Timas Kosse, žinomas vokiečių kompiuterių mokslininkas, žinomas sukūręs nemokamą kelių platformų FTP programinę įrangą FileZilla.

Paleidus ZenRAT renka informaciją apie pagrindinį kompiuterį, įskaitant CPU ir GPU informaciją, operacinės sistemos versiją, naršyklės kredencialus, įdiegtas programas ir saugos programinę įrangą. Ši informacija siunčiama į komandų ir valdymo (C2) serverį (185.186.72[.]14), kurį valdo grėsmės veikėjai.

Proofpoint paaiškina, kad klientas inicijuoja ryšį su C2 serveriu, o pirmasis išsiųstas paketas nuolat yra 73 baitų dydžio. ZenRAT yra sukonfigūruotas perduoti savo žurnalus į serverį paprastu tekstu, kuris fiksuoja įvairius sistemos patikrinimus, kuriuos atlieka kenkėjiška programa, ir kiekvieno modulio vykdymo būseną. Tai pabrėžia jo kaip „modulinio, išplečiamo implanto“ funkcionalumą.