Ένας νέος κακόβουλος κώδικας με το όνομα ZenRAT έχει εμφανιστεί, κρυμμένος μέσα σε παραποιημένα πακέτα εγκατάστασης του Bitwarden.
Δείτε επίσης: Το EvilBamboo στοχεύει Θιβετιανούς και Ταϊβανέζους
Ανακαλύφθηκε από την Proofpoint, το ZenRAT είναι ένα modular remote access trojan (RAT) που εστιάζει κυρίως στην κλοπή πληροφοριών από χρήστες των Windows. Παρά το γεγονός ότι η ακριβής μέθοδος διανομής του κακόβουλου λογισμικού παραμένει αδιευκρίνιστη, παρόμοιες απειλές στο παρελθόν συχνά χρησιμοποίησαν SEO poisoning, adware bundles ή καμπάνιες email.
Αρχικά, το ZenRAT εμφανίστηκε σε μια παραπλανητική ιστοσελίδα που μοιάζει πολύ με τη νόμιμη ιστοσελίδα του Bitwarden. Αυτή η κακόβουλη ιστοσελίδα εμφανίζει επιλεκτικά ένα ψεύτικο download του Bitwarden για χρήστες των Windows, ενώ ανακατευθύνει τους μη-χρήστες των Windows σε έναν κλωνοποιημένο άρθρο του opensource.com.
Αρχικά, το αρχείο εγκατάστασης αναφέρθηκε αρχικά στο VirusTotal με διαφορετικό όνομα τον Ιούλιο του 2023. Το malware παριστάνει το “Piriform’s Speccy”, ένα πρόγραμμα συλλογής προδιαγραφών συστήματος, και φέρει την υπογραφή του Tim Kosse, γνωστού για το λογισμικό Filezilla FTP/SFTP.
Το ZenRAT, που παριστάνει το ApplicationRuntimeMonitor μετά την εκκίνηση, λειτουργεί συλλέγοντας μια ευρεία γκάμα πληροφοριών συστήματος κατά την εκτέλεση, όπως λεπτομέρειες CPU και GPU, έκδοση λειτουργικού συστήματος, RAM, διεύθυνση IP, εγκατεστημένο antivirus software και εφαρμογές.
Δείτε επίσης: Χάκερ εκμεταλλεύονται ενεργά ένα Openfire flaw
Τα κλεμμένα δεδομένα, μαζί με πληροφορίες από τον περιηγητή, αποστέλλονται στη συνέχεια σε έναν command-and-control (C2) server, χρησιμοποιώντας ένα ξεχωριστό πρωτόκολλο επικοινωνίας.
Η διαδικασία επικοινωνίας μεταξύ του ZenRAT και του C2 server χαρακτηρίζεται από διάφορα αναγνωριστικά εντολών, μεγέθη δεδομένων, hardware IDs, αναγνωριστικά bot, εκδόσεις και κατασκευές.
Αξίζει να σημειωθεί ότι το ZenRAT υποστηρίζει αρκετές εντολές, συμπεριλαμβανομένης της μετάδοσης καταγραφών, οι οποίες αποκαλύπτουν λεπτομερείς ελέγχους του συστήματος, γεωπεριορισμό, δημιουργία mutex, επαλήθευση μεγέθους δίσκου και μέτρα anti-virtualization. Το modular design του ZenRAT υποδηλώνει τη δυνατότητα επέκτασης των δυνατοτήτων του, αν και μέχρι στιγμής παρατηρείται μόνο η βασική λειτουργικότητα.
Δείτε επίσης: Ομάδα AtlasCross: Χρησιμοποιεί τον Αμερικανικό Ερυθρό Σταυρό ως δέλεαρ για phishing
Σε μια ενημέρωση που δημοσιεύτηκε σήμερα, η Proofpoint επέμεινε απερίφραστα στο να κατεβάζουν οι χρήστες λογισμικό αποκλειστικά από αξιόπιστες πηγές.
Πηγή πληροφοριών: infosecurity-magazine.com
