انتشار بدافزار جدید ZenRAT

انتشار بدافزار جدید ZenRAT

تاریخ ایجاد

بدافزار جدید ZenRAT کاربران ویندوز را از طریق نرم‌افزار مدیریت رمز عبور جعلی مورد هدف قرار می‌دهد. نسخه جدیدی از نرم‌افزار مخرب ZenRAT در فضای سایبری مشاهده شده است که از طریق بسته‌های نصب جعلی نرم‌افزار مدیریت کلمات عبور Bitwarden توزیع می‌شود.
این نرم‌افزار مخرب به‌طور خاص، کاربران ویندوز را مورد هدف قرار داده و افرادی را که از میزبان‌های دیگر استفاده می‌کنند، به یک صفحه وب بی‌خطر هدایت می‌کند. این نرم‌افزار مخرب یک تروجان (RAT) از راه دور ماژولار با قابلیت سرقت اطلاعات است.
ZenRAT در وب‌سایت‌های جعلی که وانمود می‌کنند به Bitwarden مرتبط هستند، میزبانی می‌شود، اگرچه مشخص نیست که چگونه ترافیک به دامنه‌های مختلف هدایت می‌شود. چنین نرم‌افزار مخربی در گذشته از طریق حملات فیشینگ، بدافزار تبلیغانی یا حملات مرتبط با موتورهای جستجو (SEO) منتشر شده است.
بارگیری بسته (Bitwarden-Installer-version-2023-7-1.exe) از crazygameis[.]com، یک نسخه تروجانی از بسته نصب استاندارد Bitwarden است که شامل یک فایل اجرایی مخرب .NET  (ApplicationRuntimeMonitor.exe) می‌باشد.
یکی از جنبه‌های قابل‌توجه حمله به این شکل است که کاربرانی که از سیستم‌های غیر ویندوزی استفاده می‌کنند، به وب‌سایت جعلی شامل مقاله‌ای منتشر شده  از سال 2018 در opensource.com هدایت می‌شوند. این مقاله درباره «چگونگی مدیریت کلمات عبور با استفاده از Bitwarden» می‌باشد.
علاوه بر این، کاربران سیستم عامل ویندوز که بر روی لینک‌های دانلود مخصوص سیستم‌عامل‌های Linux یا macOS در صفحه دانلود کلیک می‌کنند، به وب‌سایت معتبر Bitwarden با آدرس vault.bitwarden.com هدایت می‌شوند.
پس از بررسی و تحلیل اطلاعات فایل installer مشخص شد که مهاجم در تلاش است تا نرم‌افزار مخرب را به‌عنوان "Speccy" که یک نرم‌افزار تولید شده توسط شرکت Piriform است و برای سیستم‌های ویندوز طراحی شده است، نشان دهد. این نرم‌افزار به کاربران امکان مشاهده و نمایش جزئیات و اطلاعات مربوط به سخت‌افزار و نرم‌افزار روی کامپیوترهای شخصی خود را می‌دهد. به عبارت دیگر، Speccy به کاربران کمک می‌کند تا اطلاعات مختلفی از جمله اطلاعات سیستمی مانند نوع و مدل سخت‌افزارها، دما، وضعیت دیسک‌ها و اطلاعات نرم‌افزاری مانند نسخه سیستم‌عامل و برنامه‌های نصب شده را بررسی و مشاهده کنند. این ابزار معمولاً به منظور اطلاع از وضعیت سیستم و رفع مشکلات عملکردی و عیب‌یابی در سیستم‌های ویندوز مورد استفاده قرار می‌گیرد.
امضای دیجیتال مورد استفاده برای امضای فایل‌های اجرایی، نه تنها نامعتبر است بلکه ادعا می‌شود که توسط Tim Kosse، یک دانشمند کامپیوتر معروف آلمانی که برای توسعه نرم‌افزار FTP رایگان FileZilla شناخته می‌شود، امضا شده است.
با اجرای ZenRAT، اطلاعاتی از جمله نام CPU، نام GPU، نسخه سیستم‌عامل، اطلاعات اعتبار مرورگر و نرم‌افزارهای نصب شده و نرم‌افزارهای امنیتی از میزبان جمع‌آوری می‌شود و به یک سرور کنترل دستور (C2) اداره شده توسط مهاجم با آدرس 85.186.72.14 ارسال می‌شوند.
ZenRAT طوری تنظیم شده است که گزارشات خود را به سرور به‌صورت متن ساده ارسال خواهد کرد. این گزارشات شامل بررسی‌های سیستمی انجام شده توسط نرم‌افزار مخرب و وضعیت اجرای هر ماژول است.

توصیه‌های امنیتی
1. دانلود نرم‌افزار از منابع معتبر:
   - همیشه نرم‌افزارها و برنامه‌ها را از منابع معتبر و رسمی دانلود کنید. در خصوص Bitwarden، توصیه می‌شود از وب‌سایت رسمی آن (vault.bitwarden.com) استفاده کنید.
2. تایید امضای دیجیتال:
   - هنگام دانلود یک نرم‌افزار، امضای دیجیتال را بررسی کنید تا از معتبر بودن آن اطمینان حاصل کنید. اگر امضای دیجیتال نامعتبر یا نادرست باشد، نرم‌افزار را نصب نکنید.
3. آگاهی از دامنه‌های جعلی:
   - توجه نمایید به چه دامنه‌ای از وب‌سایت می‌روید. از وب‌سایت‌های جعلی یا مشکوک دوری کرده و تنها به وب‌سایت‌های معتبر دسترسی داشته باشید.

منبع خبر:

https://thehackernews.com/2023/09/new-zenrat-malware-targeting-windows.html