ZenRAT マルウェア

ZenRAT として知られる斬新かつ懸念すべきマルウェアの亜種がデジタル界に出現しました。このマルウェアは、正規のパスワード マネージャー ソフトウェアを装った欺瞞的なインストール パッケージを通じて拡散されています。 ZenRAT は主に Windows オペレーティング システム ユーザーに悪意のある活動を集中させていることは注目に値します。被害者を除外するために、他のシステム上のユーザーは無害な Web ページにリダイレクトされます。

サイバーセキュリティの専門家は、この新たな脅威を熱心に調査し、包括的な技術レポートに文書化しました。彼らの分析によれば、ZenRAT はモジュール型リモート アクセス トロイの木馬 (RAT) のカテゴリーに分類されます。さらに、感染したデバイスから機密情報をこっそり盗み出す能力を示し、被害者や組織にもたらす潜在的なリスクを高めます。

ZenRAT は正規のパスワード マネージャーを装う

ZenRAT は偽の Web サイト内に隠蔽され、正規のアプリケーションの Web サイトを装います。トラフィックがこれらの不正なドメインに集中する方法は依然として不明です。歴史的に、この形式のマルウェアは、フィッシング、マルバタイジング、SEO ポイズニング攻撃など、さまざまな手段を通じて拡散してきました。

crazygameis(dot)com から取得したペイロードは、標準インストール パッケージの改ざんされたバージョンであり、ApplicationRuntimeMonitor.exe という名前の悪意のある .NET 実行可能ファイルが含まれています。

このキャンペーンの興味深い点は、Windows 以外のシステムから誤って詐欺的な Web サイトにアクセスしたユーザーが、最初に 2018 年 3 月に公開された opensource.com の重複記事にリダイレクトされることです。さらに、Windows ユーザーが Linux 用に指定されたダウンロード リンクをクリックした場合、ダウンロード ページの macOS または macOS は、正規のプログラムの公式 Web サイトにリルートされます。

ZenRAT 感染は壊滅的な結果をもたらす可能性があります

ZenRAT がアクティブ化されると、CPU タイプ、GPU モデル、オペレーティング システムのバージョン、ブラウザの資格情報、インストールされているアプリケーションとセキュリティ ソフトウェアのリストなど、ホスト システムに関する情報が収集されます。このデータは、攻撃者が運用する IP アドレス 185.186.72[.]14 を持つコマンド アンド コントロール (C2) サーバーに送信されます。

クライアントは C2 サーバーとの通信を確立します。発行されたコマンドや送信された追加データに関係なく、送信される最初のパケットのサイズは一貫して 73 バイトです。

ZenRAT はさらに、ログをプレーン テキストでサーバーに送信するように構成されています。これらのログは、マルウェアによって実行された一連のシステム チェックを記録し、各モジュールの実行ステータスに関する情報を提供します。この機能は、モジュール式で拡張可能なインプラントとしての役割を強調しています。

脅威となるソフトウェアは、正規のアプリケーション インストーラーを装ったファイルを通じて配布されることがよくあります。最終消費者にとって、信頼できるソースからのみソフトウェアをダウンロードし、ソフトウェアのダウンロードをホストしているドメインが公式 Web サイトに関連付けられているドメインと一致していることを確認することで、注意を払うことが重要です。さらに、検索エンジンの結果で広告に遭遇する場合は、特に過去 1 年間、この種の感染の重大な原因として浮上しているため、個人は注意を払う必要があります。