Вредоносное ПО ZenRAT, распространяемое путем подмены законного приложения

В дикой природе появился новый тип вредоносного ПО, известный как ZenRAT. Он распространяется через мошеннические установочные пакеты, имитирующие законное приложение-менеджер паролей.

Компания Proofpoint, занимающаяся корпоративной безопасностью, сообщила, что ZenRAT специально нацелен на пользователей Windows и перенаправляет пользователей других операционных систем на безвредные веб-страницы. Эта вредоносная программа представляет собой модульный троян удаленного доступа (RAT), способный похищать информацию.

ZenRAT встречается на поддельных веб-сайтах, выдающих себя за подлинное приложение. Способы направления трафика на эти домены неясны. В прошлом подобное вредоносное ПО распространялось с помощью таких методов, как фишинг, вредоносная реклама или атаки с использованием SEO-отравления.

Полезная нагрузка, которую можно загрузить с сайта madgameis[.]com, представляет собой измененную версию стандартного установочного пакета приложения, содержащую вредоносный .NET-исполняемый файл под названием ApplicationRuntimeMonitor.exe.

Интересным аспектом этой кампании является то, что пользователи, не использующие Windows, посещающие мошеннический веб-сайт, перенаправляются на клонированную статью с сайта opensource.com, опубликованную в марте 2018 года, об управлении паролями с помощью законных инструментов. Между тем, пользователи Windows, которые нажимают на ссылки для загрузки, помеченные для Linux или macOS на странице «Загрузки», перенаправляются на сайт легального приложения.

ZenRAT пытается замаскироваться

Изучение метаданных установщика показывает, что злоумышленник пытался замаскировать вредоносное ПО под Speccy, бесплатную утилиту Windows для отображения информации об оборудовании и программном обеспечении.

Цифровая подпись, используемая для подписания исполняемого файла, не только недействительна, но и ложно утверждает, что она подписана Тимом Коссе, известным немецким ученым-компьютерщиком, известным созданием бесплатного кроссплатформенного программного обеспечения FTP FileZilla.

После запуска ZenRAT собирает информацию о хосте, включая сведения о процессоре и графическом процессоре, версию операционной системы, учетные данные браузера, установленные приложения и программное обеспечение безопасности. Эта информация отправляется на сервер управления (C2) (185.186.72[.]14), которым управляют злоумышленники.

Proofpoint объясняет, что клиент инициирует связь с сервером C2, и первый отправленный пакет имеет размер 73 байта. ZenRAT настроен на передачу своих журналов на сервер в виде обычного текста, в котором фиксируются различные системные проверки, выполняемые вредоносным ПО, и статус выполнения каждого модуля. Это подчеркивает его функциональность как «модульного расширяемого имплантата».