ZenRAT Malware distribueras av Spoofing Legitimate App

En ny typ av skadlig programvara känd som ZenRAT har dykt upp i naturen. Det distribueras genom vilseledande installationspaket som efterliknar ett legitimt lösenordshanterarprogram.

Enterprise säkerhetsföretaget Proofpoint har rapporterat att ZenRAT specifikt riktar sig till Windows-användare och omdirigerar användare på andra operativsystem till ofarliga webbsidor. Denna skadliga programvara är en modulär fjärråtkomsttrojan (RAT) som kan stjäla information.

ZenRAT finns på förfalskade webbplatser som låtsas vara anslutna till den äkta appen. Det är oklart hur trafiken dirigeras till dessa domäner. Tidigare har liknande skadlig programvara spridits genom metoder som nätfiske, malvertising eller SEO-förgiftningsattacker.

Nyttolasten, som kan laddas ner från crazygameis[.]com, är en manipulerad version av standardappinstallationspaketet, som innehåller en skadlig .NET-körbar fil som heter ApplicationRuntimeMonitor.exe.

En intressant aspekt av denna kampanj är att icke-Windows-användare som besöker den vilseledande webbplatsen omdirigeras till en klonad artikel från opensource.com som publicerades i mars 2018 om att hantera lösenord med legitima verktyg. Under tiden dirigeras Windows-användare som klickar på nedladdningslänkar märkta för Linux eller macOS på sidan Nedladdningar till den legitima appens webbplats.

ZenRAT försöker dölja sig själv

En undersökning av installationsprogrammets metadata visar att hotaktören försökte dölja skadlig programvara som Speccy, ett gratis Windows-verktyg för att visa hård- och mjukvaruinformation.

Den digitala signaturen som används för att signera den körbara filen är inte bara ogiltig utan hävdar också felaktigt att den är undertecknad av Tim Kosse, en välkänd tysk datavetare känd för att skapa den kostnadsfria plattformsoberoende FTP-mjukvaran FileZilla.

Vid lansering samlar ZenRAT in information om värden, inklusive CPU- och GPU-detaljer, operativsystemversion, webbläsaruppgifter, installerade applikationer och säkerhetsprogramvara. Denna information skickas till en kommando-och-kontroll-server (C2) (185.186.72[.]14) som drivs av hotaktörerna.

Proofpoint förklarar att klienten initierar kommunikation med C2-servern och att det första paketet som skickas är konsekvent 73 byte stort. ZenRAT är konfigurerad att överföra sina loggar till servern i klartext, som fångar olika systemkontroller som utförs av skadlig programvara och statusen för varje moduls exekvering. Detta framhäver dess funktion som ett "modulärt, expanderbart implantat."