ZenRAT-Malware

Eine neuartige und besorgniserregende Malware-Variante namens ZenRAT ist in der digitalen Landschaft aufgetaucht. Diese Malware wird durch betrügerische Installationspakete verbreitet, die sich als legitime Passwort-Manager-Software ausgeben. Es ist erwähnenswert, dass ZenRAT seine böswilligen Aktivitäten in erster Linie auf Benutzer von Windows-Betriebssystemen konzentriert. Um seine Opfer herauszufiltern, werden Benutzer anderer Systeme auf harmlose Webseiten umgeleitet.

Cybersicherheitsexperten haben diese aufkommende Bedrohung sorgfältig untersucht und in einem umfassenden technischen Bericht dokumentiert. Laut ihrer Analyse fällt ZenRAT in die Kategorie der modularen Remote Access Trojaner (RATs). Darüber hinaus weist es die Fähigkeit auf, vertrauliche Informationen heimlich von infizierten Geräten zu extrahieren, was die potenziellen Risiken, die es für Opfer und Organisationen darstellt, erhöht.

ZenRAT gibt sich als legitimer Passwort-Manager aus

ZenRAT ist auf gefälschten Websites versteckt und gibt sich fälschlicherweise als solche für die legitime Anwendung aus. Die Methode, mit der der Datenverkehr zu diesen betrügerischen Domänen geleitet wird, bleibt ungewiss. In der Vergangenheit wurde diese Form von Malware auf verschiedene Weise verbreitet, darunter Phishing-, Malvertising- und SEO-Poisoning-Angriffe.

Bei der von Crazygameis(dot)com abgerufenen Nutzlast handelt es sich um eine manipulierte Version des Standardinstallationspakets, die eine schädliche ausführbare .NET-Datei namens ApplicationRuntimeMonitor.exe enthält.

Ein faszinierender Aspekt dieser Kampagne besteht darin, dass Benutzer, die versehentlich von Nicht-Windows-Systemen auf die betrügerische Website gelangen, zu einem duplizierten Artikel von opensource.com weitergeleitet werden, der ursprünglich im März 2018 veröffentlicht wurde. Darüber hinaus werden Windows-Benutzer, die auf Download-Links für Linux klicken, weitergeleitet oder macOS auf der Download-Seite werden auf die offizielle Website des legitimen Programms umgeleitet.

Eine ZenRAT-Infektion kann verheerende Folgen haben

Nach der Aktivierung sammelt ZenRAT Informationen über das Hostsystem, einschließlich CPU-Typ, GPU-Modell, Betriebssystemversion, Browser-Anmeldeinformationen und eine Liste der installierten Anwendungen und Sicherheitssoftware. Diese Daten werden dann an einen von den Bedrohungsakteuren betriebenen Command-and-Control-Server (C2) mit der IP-Adresse 185.186.72[.]14 gesendet.

Der Client stellt die Kommunikation mit dem C2-Server her, und unabhängig vom ausgegebenen Befehl oder den zusätzlich übertragenen Daten hat das gesendete Anfangspaket stets eine Größe von 73 Byte.

ZenRAT ist zusätzlich so konfiguriert, dass es seine Protokolle im Klartext an den Server übermittelt. Diese Protokolle zeichnen eine Reihe von Systemprüfungen auf, die von der Malware durchgeführt werden, und liefern Informationen über den Status der Ausführung jedes Moduls. Diese Funktionalität unterstreicht seine Rolle als modulares und erweiterbares Implantat.

Bedrohliche Software wird häufig über Dateien verbreitet, die vorgeben, authentische Anwendungsinstallationsprogramme zu sein. Für Endverbraucher ist es wichtig, Vorsicht walten zu lassen, indem sie Software ausschließlich von seriösen Quellen herunterladen und überprüfen, ob die Domänen, auf denen Software-Downloads gehostet werden, mit denen der offiziellen Website übereinstimmen. Darüber hinaus sollten Einzelpersonen Vorsicht walten lassen, wenn sie in Suchmaschinenergebnissen auf Werbung stoßen, da sich diese insbesondere im vergangenen Jahr als eine bedeutende Quelle für Infektionen dieser Art herausgestellt hat.