Logiciel malveillant ZenRAT

Une variante nouvelle et préoccupante de malware connue sous le nom de ZenRAT a fait surface dans le paysage numérique. Ce malware est diffusé via des packages d'installation trompeurs se faisant passer pour un logiciel de gestion de mots de passe légitime. Il convient de noter que ZenRAT concentre principalement ses activités malveillantes sur les utilisateurs du système d'exploitation Windows. Pour filtrer ses victimes, les utilisateurs d'autres systèmes seront redirigés vers des pages Web inoffensives.

Les experts en cybersécurité ont soigneusement examiné et documenté cette menace émergente dans un rapport technique complet. Selon leur analyse, ZenRAT entre dans la catégorie des chevaux de Troie modulaires d'accès à distance (RAT). De plus, il présente la capacité d’exfiltrer furtivement des informations sensibles des appareils infectés, intensifiant ainsi les risques potentiels qu’il présente pour les victimes et les organisations.

ZenRAT se présente comme un gestionnaire de mots de passe légitime

ZenRAT est dissimulé dans des sites Web contrefaits, se faisant faussement passer pour ceux de l'application légitime. La méthode par laquelle le trafic est acheminé vers ces domaines trompeurs reste incertaine. Historiquement, cette forme de malware a été diffusée par divers moyens, notamment le phishing, la publicité malveillante et les attaques d'empoisonnement SEO.

La charge utile récupérée sur crazygameis(dot)com est une version falsifiée du package d'installation standard, hébergeant un exécutable .NET malveillant nommé ApplicationRuntimeMonitor.exe.

Un aspect intrigant de cette campagne est que les utilisateurs qui atterrissent par inadvertance sur le site Web frauduleux à partir de systèmes non Windows sont redirigés vers un article dupliqué d'opensource.com, initialement publié en mars 2018. De plus, les utilisateurs Windows qui cliquent sur des liens de téléchargement désignés pour Linux ou macOS sur la page Téléchargements sont redirigés vers le site officiel du programme légitime.

Une infection ZenRAT peut avoir des conséquences dévastatrices

Une fois activé, ZenRAT collecte des informations sur le système hôte, notamment le type de processeur, le modèle de GPU, la version du système d'exploitation, les informations d'identification du navigateur et une liste des applications et logiciels de sécurité installés. Ces données sont ensuite envoyées à un serveur de commande et de contrôle (C2) exploité par les acteurs malveillants, qui possède l'adresse IP 185.186.72[.]14.

Le client établit la communication avec le serveur C2 et quelle que soit la commande émise ou les données supplémentaires transmises, le paquet initial envoyé a toujours une taille de 73 octets.

ZenRAT est en outre configuré pour transmettre ses journaux au serveur en texte brut. Ces journaux enregistrent une série de vérifications du système effectuées par le malware et fournissent des informations sur l'état d'exécution de chaque module. Cette fonctionnalité met en valeur son rôle d’implant modulaire et extensible.

Les logiciels menaçants sont fréquemment distribués via des fichiers qui prétendent être d'authentiques installateurs d'applications. Il est crucial que les consommateurs finaux fassent preuve de prudence en téléchargeant exclusivement des logiciels provenant de sources réputées et en vérifiant que les domaines hébergeant les téléchargements de logiciels correspondent à ceux associés au site officiel. En outre, les individus doivent faire preuve de prudence lorsqu’ils rencontrent des publicités dans les résultats des moteurs de recherche, car cela s’est révélé être une source importante d’infections de ce type, en particulier au cours de l’année écoulée.