Исследователи из компании Proofpoint обнаружили новую вредоносную программу под названием ZenRAT. Вредоносная программа представляет собой модульный троян удаленного доступа (RAT) с возможностью кражи информации. ZenRAT распространяется через поддельные инсталляционные пакеты менеджера паролей Bitwarden.
Вредоносная программа нацелена на пользователей Windows и перенаправляет пользователей других хостов на безопасную веб-страницу. Неизвестно, каким образом распространяется эта вредоносная программа, но в прошлом она маскировалась под поддельные инсталляторы программного обеспечения и доставлялась через SEO Poisoning, пакеты с рекламным ПО или по электронной почте. После выполнения ZenRAT собирает данные об отпечатках пальцев системы и упаковывает их в ZIP-файл для последующей передачи в C2 вместе с результатами работы других модулей, например, похитителя информации из браузера. Протокол C2 уникален и, судя по всему, предназначен для расширения функциональности всего вредоносного ПО.
Indicators of Compromise
IPv4 Port Combinations
- 185.156.72.8:9890
- 185.186.72.14:9890
Domains
- bitwariden.com
- crazygameis.com
- geogebraa.com
- obsploject.com
SHA256
- 60098db9f251bca8d40bf6b19e3defa1b81ff3bdc13876766988429a2e922a06
- 8378c6faf198f4182c55f85c494052a5288a6d7823de89914986b2352076bb12
- 986aa8e20962b28971b3a5335ef46cf96c102fa828ae7486c2ac2137a0690b76
- ba36d9d6e537a1c1ecdf1ace9f170a3a13c19e77f582a5cae5c928a341c1be8d
- d7d59f7db946c7e77fed4b927b48ab015e5f3ea8e858d330930e9f7ac1276536
- e0c067fc8e10a662c42926f6cdadfa5c6b8c90d5dff3f0e9f381210180d47d37
- e318b2c1693bc771dfe9a66ee2cebcc2b426b01547bb0164d09d025467cb9ee3
- f7573ad27ff407e84d3ebf173cbeaaa6aba62eb74b4b2b934bc0433df3d9e066