ZenRAT Malware distribuert av Spoofing Legitimate App

En ny type ondsinnet programvare kjent som ZenRAT har dukket opp i naturen. Den distribueres gjennom villedende installasjonspakker som etterligner et legitimt passordbehandlingsprogram.

Enterprise-sikkerhetsfirmaet Proofpoint har rapportert at ZenRAT spesifikt retter seg mot Windows-brukere og omdirigerer brukere på andre operativsystemer til ufarlige nettsider. Denne skadelige programvaren er en modulær fjerntilgangstrojaner (RAT) som er i stand til å stjele informasjon.

ZenRAT finnes på forfalskede nettsteder som utgir seg for å være tilknyttet den ekte appen. Det er uklart hvordan trafikken ledes til disse domenene. Tidligere har lignende skadelig programvare blitt spredt gjennom metoder som phishing, malvertising eller SEO-forgiftningsangrep.

Nyttelasten, som kan lastes ned fra crazygameis[.]com, er en manipulert versjon av standard appinstallasjonspakken, som inneholder en ondsinnet .NET-kjørbar fil kalt ApplicationRuntimeMonitor.exe.

Et interessant aspekt ved denne kampanjen er at ikke-Windows-brukere som besøker det villedende nettstedet blir omdirigert til en klonet artikkel fra opensource.com publisert i mars 2018 om administrasjon av passord ved hjelp av legitime verktøy. I mellomtiden blir Windows-brukere som klikker på nedlastingslenker merket for Linux eller macOS på nedlastingssiden, sendt til den legitime appens nettsted.

ZenRAT forsøker å skjule seg

En undersøkelse av installatørens metadata viser at trusselaktøren forsøkte å skjule skadevaren som Speccy, et gratis Windows-verktøy for å vise maskinvare- og programvareinformasjon.

Den digitale signaturen som brukes til å signere den kjørbare filen er ikke bare ugyldig, men hevder også feilaktig å være signert av Tim Kosse, en velkjent tysk dataforsker kjent for å lage den gratis plattformbaserte FTP-programvaren FileZilla.

Ved lansering samler ZenRAT inn informasjon om verten, inkludert CPU- og GPU-detaljer, operativsystemversjon, nettleserlegitimasjon, installerte applikasjoner og sikkerhetsprogramvare. Denne informasjonen sendes til en kommando-og-kontroll-server (C2) (185.186.72[.]14) som drives av trusselaktørene.

Proofpoint forklarer at klienten starter kommunikasjon med C2-serveren, og den første pakken som sendes er konsekvent 73 byte stor. ZenRAT er konfigurert til å overføre sine logger til serveren i ren tekst, som fanger opp ulike systemkontroller utført av skadelig programvare og statusen for hver moduls utførelse. Dette fremhever funksjonaliteten som et "modulært, utvidbart implantat."