Software malicioso ZenRAT

Una variante de malware novedosa y preocupante conocida como ZenRAT ha surgido en el panorama digital. Este malware se difunde a través de paquetes de instalación engañosos que se hacen pasar por un software de gestión de contraseñas legítimo. Vale la pena señalar que ZenRAT centra sus actividades maliciosas principalmente en los usuarios del sistema operativo Windows. Para filtrar a sus víctimas, los usuarios de otros sistemas serán redirigidos a páginas web inofensivas.

Los expertos en ciberseguridad han examinado y documentado diligentemente esta amenaza emergente en un informe técnico completo. Según su análisis, ZenRAT entra en la categoría de troyanos modulares de acceso remoto (RAT). Además, muestra la capacidad de extraer sigilosamente información confidencial de dispositivos infectados, intensificando los riesgos potenciales que representa para las víctimas y las organizaciones.

ZenRAT se hace pasar por un administrador de contraseñas legítimo

ZenRAT está oculto en sitios web falsificados, haciéndose pasar por sitios de aplicaciones legítimas. El método mediante el cual se canaliza el tráfico hacia estos dominios engañosos sigue siendo incierto. Históricamente, esta forma de malware se ha difundido a través de diversos medios, incluidos ataques de phishing, publicidad maliciosa y envenenamiento de SEO.

La carga útil recuperada de Crazygameis(punto)com es una versión manipulada del paquete de instalación estándar, que alberga un ejecutable .NET malicioso llamado ApplicationRuntimeMonitor.exe.

Un aspecto intrigante de esta campaña es que los usuarios que sin darse cuenta llegan al sitio web fraudulento desde sistemas que no son Windows son redirigidos a un artículo duplicado de opensource.com, publicado originalmente en marzo de 2018. Además, los usuarios de Windows que hacen clic en enlaces de descarga designados para Linux o macOS en la página de Descargas se redirigen al sitio web oficial del programa legítimo.

Una infección ZenRAT puede tener consecuencias devastadoras

Una vez activado, ZenRAT recopila información sobre el sistema host, incluido el tipo de CPU, modelo de GPU, versión del sistema operativo, credenciales del navegador y una lista de aplicaciones instaladas y software de seguridad. Luego, estos datos se envían a un servidor de comando y control (C2) operado por los actores de la amenaza, que tiene la dirección IP 185.186.72[.]14.

El cliente establece comunicación con el servidor C2 e independientemente del comando emitido o de cualquier dato adicional transmitido, el paquete inicial enviado tiene constantemente un tamaño de 73 bytes.

ZenRAT también está configurado para transmitir sus registros al servidor en texto sin formato. Estos registros registran una serie de comprobaciones del sistema realizadas por el malware y proporcionan información sobre el estado de ejecución de cada módulo. Esta funcionalidad pone de relieve su papel como implante modular y ampliable.

El software amenazante se distribuye frecuentemente a través de archivos que pretenden ser instaladores de aplicaciones auténticos. Es fundamental que los consumidores finales tengan cuidado al descargar software exclusivamente de fuentes confiables y verificar que los dominios que alojan las descargas de software coincidan con los asociados con el sitio web oficial. Además, las personas deben tener cuidado al encontrar anuncios en los resultados de los motores de búsqueda, ya que se ha convertido en una fuente importante de infecciones de este tipo, especialmente en el último año.