Malware ZenRAT distribuído por aplicativo legítimo falsificado

Um novo tipo de software malicioso conhecido como ZenRAT surgiu à solta. Ele é distribuído por meio de pacotes de instalação enganosos que imitam um aplicativo gerenciador de senhas legítimo.

A empresa de segurança empresarial Proofpoint relatou que o ZenRAT visa especificamente usuários do Windows e redireciona usuários de outros sistemas operacionais para páginas da web inofensivas. Este malware é um trojan modular de acesso remoto (RAT) capaz de roubar informações.

ZenRAT é encontrado em sites falsificados que fingem ser afiliados ao aplicativo original. Os meios pelos quais o tráfego é direcionado para esses domínios não são claros. No passado, malware semelhante foi espalhado através de métodos como phishing, malvertising ou ataques de envenenamento de SEO.

A carga útil, que pode ser baixada de crazygameis[.]com, é uma versão adulterada do pacote de instalação padrão do aplicativo, contendo um executável .NET malicioso chamado ApplicationRuntimeMonitor.exe.

Um aspecto interessante desta campanha é que os usuários não-Windows que visitam o site enganoso são redirecionados para um artigo clonado do opensource.com publicado em março de 2018 sobre o gerenciamento de senhas usando ferramentas legítimas. Enquanto isso, os usuários do Windows que clicam nos links de download indicados para Linux ou macOS na página Downloads são direcionados ao site do aplicativo legítimo.

ZenRAT tenta se disfarçar

Um exame dos metadados do instalador mostra que o agente da ameaça tentou disfarçar o malware como Speccy, um utilitário gratuito do Windows para exibir informações de hardware e software.

A assinatura digital usada para assinar o executável não é apenas inválida, mas também afirma falsamente ser assinada por Tim Kosse, um conhecido cientista da computação alemão conhecido por criar o software FTP multiplataforma gratuito FileZilla.

Ao iniciar, o ZenRAT coleta informações sobre o host, incluindo detalhes de CPU e GPU, versão do sistema operacional, credenciais do navegador, aplicativos instalados e software de segurança. Essas informações são enviadas para um servidor de comando e controle (C2) (185.186.72[.]14) operado pelos atores da ameaça.

Proofpoint explica que o cliente inicia a comunicação com o servidor C2 e o primeiro pacote enviado tem consistentemente 73 bytes de tamanho. O ZenRAT está configurado para transmitir seus logs ao servidor em texto simples, que captura diversas verificações do sistema realizadas pelo malware e o status de execução de cada módulo. Isto destaca a sua funcionalidade como um “implante modular e expansível”.