الكشف عن البرامج الضارة ZenRAT في انتحال شخصية Bitwarden في سبتمبر الماضي
ظهرت سلالة جديدة من البرامج الضارة تسمى ZenRAT، مخبأة ضمن حزم تثبيت Bitwarden المزيفة.
تم اكتشاف ZenRAT بواسطة Proofpoint، وهو عبارة عن حصان طروادة معياري للوصول عن بعد (RAT) يستهدف مستخدمي Windows على وجه التحديد مع التركيز بشكل أساسي على سرقة المعلومات. على الرغم من أن الطريقة الدقيقة لتوزيع البرامج الضارة لم يتم الكشف عنها بعد برغم اكتشافة في سبتمبر الماضي، إلا أن الأمثلة السابقة لتهديدات مماثلة غالبًا ما استخدمت تسمم تحسين محركات البحث أو حزم البرامج الإعلانية أو حملات البريد الإلكتروني.
ظهر ZenRAT في البداية على موقع ويب خادع يشبه إلى حد كبير موقع Bitwarden الشرعي. يعرض موقع الويب الضار هذا بشكل انتقائي تنزيل Bitwarden المزيف لمستخدمي Windows أثناء إعادة توجيه المستخدمين الذين لا يستخدمون Windows إلى مقالة مستنسخة opensource.com.
تم الإبلاغ عن ملف التثبيت في البداية على VirusTotal تحت اسم مختلف في أواخر يوليو 2023. تتنكر البرامج الضارة باسم “Piriform’s Speccy”، وهو برنامج تجميع مواصفات النظام، وتحمل توقيع Tim Kosse، المعروف ببرنامج Filezilla FTP/SFTP.
يعمل ZenRAT، الذي يظهر على أنه ApplicationRuntimeMonitor.exe بمجرد إطلاقه، من خلال جمع نطاق واسع من معلومات النظام عند التنفيذ، مثل تفاصيل وحدة المعالجة المركزية ووحدة معالجة الرسومات، وإصدار نظام التشغيل، وذاكرة الوصول العشوائي (RAM)، وعنوان IP، وبرامج وتطبيقات مكافحة الفيروسات المثبتة.
يتم بعد ذلك نقل هذه البيانات المسروقة، إلى جانب معلومات المتصفح، إلى خادم القيادة والتحكم (C2)، باستخدام بروتوكول اتصال مميز.
تتميز عملية الاتصال بين ZenRAT وخادم C2 الخاص به بمعرفات الأوامر المختلفة وأحجام البيانات ومعرفات الأجهزة ومعرفات الروبوت والإصدارات والبنيات.
ومن الجدير بالذكر أن ZenRAT يدعم العديد من الأوامر، بما في ذلك سجلات الإرسال، التي تكشف عن عمليات فحص النظام التفصيلية، والسياج الجغرافي، وإنشاء كائن المزامنة (mutex)، والتحقق من حجم القرص، وإجراءات مكافحة المحاكاة الافتراضية. يتضمن التصميم المعياري لـ ZenRAT إمكانية توسيع قدراته، على الرغم من أنه حتى الآن، تمت ملاحظة الوظيفة الأساسية فقط.
وقد حث الاستشاريون المستخدمين على استخدام Proofpoint بشدة عند تنزيل البرامج حصريًا من مصادر موثوقة.
وجاء في التحذير: “يجب على المستخدمين النهائيين الانتباه إلى تنزيل البرامج مباشرةً من المصدر الموثوق به فقط، والتحقق دائمًا من النطاقات التي تستضيف تنزيلات البرامج مقابل النطاقات التابعة للموقع الرسمي”.
“يجب على الناس أيضًا أن يكونوا حذرين من الإعلانات في نتائج محركات البحث، حيث يبدو أن ذلك هو المحرك الرئيسي للعدوى من هذا النوع، خاصة خلال العام الماضي.”
