Złośliwe oprogramowanie ZenRAT rozpowszechniane poprzez fałszowanie legalnej aplikacji

W środowisku naturalnym pojawił się nowy typ złośliwego oprogramowania, znany jako ZenRAT. Jest dystrybuowany poprzez zwodnicze pakiety instalacyjne imitujące legalną aplikację do zarządzania hasłami.

Firma Proofpoint zajmująca się bezpieczeństwem dla przedsiębiorstw poinformowała, że ZenRAT atakuje w szczególności użytkowników systemu Windows i przekierowuje użytkowników innych systemów operacyjnych na nieszkodliwe strony internetowe. To złośliwe oprogramowanie to modułowy trojan zdalnego dostępu (RAT), który może kraść informacje.

ZenRAT można znaleźć na fałszywych stronach internetowych udających powiązania z oryginalną aplikacją. Sposób kierowania ruchu do tych domen jest niejasny. W przeszłości podobne złośliwe oprogramowanie było rozprzestrzeniane za pomocą metod takich jak phishing, złośliwe reklamy lub ataki polegające na zatruwaniu SEO.

Ładunek, który można pobrać ze stronycrazygameis[.]com, to zmodyfikowana wersja standardowego pakietu instalacyjnego aplikacji, zawierająca złośliwy plik wykonywalny .NET o nazwie ApplicationRuntimeMonitor.exe.

Interesującym aspektem tej kampanii jest to, że użytkownicy systemów innych niż Windows, którzy odwiedzają zwodniczą witrynę, są przekierowywani do sklonowanego artykułu z opensource.com opublikowanego w marcu 2018 r. na temat zarządzania hasłami przy użyciu legalnych narzędzi. Tymczasem użytkownicy systemu Windows, którzy klikną łącza pobierania oznaczone dla systemu Linux lub macOS na stronie Pobrane, zostaną przekierowani na witrynę legalnej aplikacji.

ZenRAT próbuje się ukryć

Analiza metadanych instalatora pokazuje, że ugrupowanie zagrażające próbowało zamaskować złośliwe oprogramowanie jako Speccy, bezpłatne narzędzie systemu Windows służące do wyświetlania informacji o sprzęcie i oprogramowaniu.

Podpis cyfrowy użyty do podpisania pliku wykonywalnego jest nie tylko nieprawidłowy, ale także fałszywie twierdzi, że został podpisany przez Tima Kosse, znanego niemieckiego informatyka znanego z tworzenia darmowego, wieloplatformowego oprogramowania FTP FileZilla.

Po uruchomieniu ZenRAT zbiera informacje o hoście, w tym szczegóły procesora i karty graficznej, wersję systemu operacyjnego, dane uwierzytelniające przeglądarki, zainstalowane aplikacje i oprogramowanie zabezpieczające. Informacje te są wysyłane do serwera dowodzenia i kontroli (C2) (185.186.72[.]14) obsługiwanego przez podmioty zagrażające.

Proofpoint wyjaśnia, że klient inicjuje komunikację z serwerem C2, a pierwszy wysłany pakiet ma stale rozmiar 73 bajtów. ZenRAT jest skonfigurowany tak, aby przesyłać swoje logi do serwera w postaci zwykłego tekstu, który rejestruje różne kontrole systemu przeprowadzane przez złośliwe oprogramowanie oraz status wykonania każdego modułu. Podkreśla to jego funkcjonalność jako „modułowego implantu z możliwością rozbudowy”.