ZenRAT-malware verspreid door legitieme app te spoofen

Een nieuw type kwaadaardige software, bekend als ZenRAT, is in het wild opgedoken. Het wordt verspreid via misleidende installatiepakketten die een legitieme toepassing voor wachtwoordbeheer nabootsen.

Enterprise-beveiligingsbedrijf Proofpoint heeft gemeld dat ZenRAT zich specifiek richt op Windows-gebruikers en gebruikers op andere besturingssystemen omleidt naar onschadelijke webpagina's. Deze malware is een modulaire trojan voor externe toegang (RAT) die informatie kan stelen.

ZenRAT wordt gevonden op namaakwebsites die zich voordoen als verbonden met de echte app. De manier waarop het verkeer naar deze domeinen wordt geleid, is onduidelijk. In het verleden is soortgelijke malware verspreid via methoden als phishing, malvertising of SEO-vergiftigingsaanvallen.

De payload, die kan worden gedownload van gekkegameis[.]com, is een geknoeide versie van het standaard app-installatiepakket, dat een kwaadaardig .NET-uitvoerbaar bestand bevat met de naam ApplicationRuntimeMonitor.exe.

Een interessant aspect van deze campagne is dat niet-Windows-gebruikers die de misleidende website bezoeken, worden doorgestuurd naar een gekloond artikel van opensource.com, gepubliceerd in maart 2018, over het beheren van wachtwoorden met behulp van legitieme tools. Ondertussen worden Windows-gebruikers die op de downloadpagina op downloadlinks met het label Linux of macOS klikken, doorgestuurd naar de site van de legitieme app.

ZenRAT probeert zichzelf te vermommen

Uit onderzoek van de metagegevens van het installatieprogramma blijkt dat de bedreigingsacteur probeerde de malware te vermommen als Speccy, een gratis Windows-hulpprogramma voor het weergeven van hardware- en software-informatie.

De digitale handtekening die wordt gebruikt om het uitvoerbare bestand te ondertekenen is niet alleen ongeldig, maar beweert ook ten onrechte te zijn ondertekend door Tim Kosse, een bekende Duitse computerwetenschapper die bekend staat om het maken van de gratis platformonafhankelijke FTP-software FileZilla.

Bij het opstarten verzamelt ZenRAT informatie over de host, inclusief CPU- en GPU-details, de versie van het besturingssysteem, browserreferenties, geïnstalleerde applicaties en beveiligingssoftware. Deze informatie wordt verzonden naar een command-and-control (C2)-server (185.186.72[.]14) die wordt beheerd door de bedreigingsactoren.

Proofpoint legt uit dat de client de communicatie met de C2-server initieert en dat het eerste verzonden pakket consistent 73 bytes groot is. ZenRAT is geconfigureerd om zijn logboeken in platte tekst naar de server te verzenden, waarin verschillende systeemcontroles worden vastgelegd die door de malware worden uitgevoerd en de status van de uitvoering van elke module. Dit benadrukt de functionaliteit ervan als een ‘modulair, uitbreidbaar implantaat’.