ZenRAT 恶意软件通过欺骗合法应用程序传播

一种名为 ZenRAT 的新型恶意软件已经出现。它通过模仿合法密码管理器应用程序的欺骗性安装包进行分发。

企业安全公司 Proofpoint 报告称，ZenRAT 专门针对 Windows 用户，并将其他操作系统上的用户重定向到无害的网页。该恶意软件是一种模块化远程访问木马 (RAT)，能够窃取信息。

ZenRAT 存在于冒充正版应用程序的假冒网站上。流量定向到这些域的方式尚不清楚。过去，类似的恶意软件曾通过网络钓鱼、恶意广告或 SEO 中毒攻击等方式传播。

可以从crazygameis[.]com下载的有效负载是标准应用程序安装包的篡改版本，其中包含名为ApplicationRuntimeMonitor.exe的恶意.NET可执行文件。

此活动的一个有趣的方面是，访问欺骗性网站的非 Windows 用户会被重定向到 opensource.com 于 2018 年 3 月发布的有关使用合法工具管理密码的克隆文章。与此同时，Windows 用户点击“下载”页面上标记为 Linux 或 macOS 的下载链接后，将被定向到合法应用程序的网站。

ZenRAT 尝试伪装自己

对安装程序元数据的检查表明，威胁行为者试图将恶意软件伪装成 Speccy，这是一种用于显示硬件和软件信息的免费 Windows 实用程序。

用于签署可执行文件的数字签名不仅无效，而且还错误地声称是由德国著名计算机科学家 Tim Kosse 签署的，Tim Kosse 因创建免费跨平台 FTP 软件 FileZilla 而闻名。

启动后，ZenRAT 会收集有关主机的信息，包括 CPU 和 GPU 详细信息、操作系统版本、浏览器凭据、已安装的应用程序和安全软件。此信息被发送到由威胁行为者操作的命令和控制 (C2) 服务器 (185.186.72[.]14)。

Proofpoint 解释说，客户端发起与 C2 服务器的通信，发送的第一个数据包的大小始终为 73 字节。 ZenRAT 配置为以纯文本形式将其日志传输到服务器，服务器捕获恶意软件执行的各种系统检查以及每个模块的执行状态。这凸显了其作为“模块化、可扩展植入物”的功能。