ZenRAT 惡意軟體透過欺騙合法應用程式傳播

一種名為 ZenRAT 的新型惡意軟體已經出現。它透過模仿合法密碼管理器應用程式的欺騙性安裝包進行分發。

企業安全公司 Proofpoint 報告稱，ZenRAT 專門針對 Windows 用戶，並將其他作業系統上的用戶重新導向到無害的網頁。該惡意軟體是一種模組化遠端存取木馬 (RAT)，能夠竊取資訊。

ZenRAT 存在於冒充正版應用程式的假網站上。流量定向到這些域的方式尚不清楚。過去，類似的惡意軟體曾透過網路釣魚、惡意廣告或 SEO 中毒攻擊等方式傳播。

可以從crazygameis[.]com下載的有效負載是標準應用程式安裝套件的篡改版本，其中包含名為ApplicationRuntimeMonitor.exe的惡意.NET可執行檔。

此活動的一個有趣的方面是，訪問欺騙性網站的非 Windows 用戶會被重定向到 opensource.com 於 2018 年 3 月發布的有關使用合法工具管理密碼的克隆文章。同時，Windows 用戶點擊「下載」頁面上標記為 Linux 或 macOS 的下載連結後，將被導向到合法應用程式的網站。

ZenRAT 嘗試偽裝自己

對安裝程式元資料的檢查表明，威脅行為者試圖將惡意軟體偽裝成 Speccy，這是用於顯示硬體和軟體資訊的免費 Windows 實用程式。

用於簽署可執行檔的數位簽章不僅無效，而且還錯誤地聲稱是由著名德國電腦科學家 Tim Kosse 簽署的，Tim Kosse 因創建免費跨平台 FTP 軟體 FileZilla 而聞名。

啟動後，ZenRAT 會收集有關主機的信息，包括 CPU 和 GPU 詳細資訊、作業系統版本、瀏覽器憑證、已安裝的應用程式和安全軟體。此資訊被傳送到由威脅行為者操作的命令和控制 (C2) 伺服器 (185.186.72[.]14)。

Proofpoint 解釋說，客戶端發起與 C2 伺服器的通信，發送的第一個資料包的大小始終為 73 位元組。 ZenRAT 配置為以純文字形式將其日誌傳輸到伺服器，伺服器捕獲惡意軟體執行的各種系統檢查以及每個模組的執行狀態。這凸顯了其作為「模組化、可擴展植入物」的功能。