Proofpoint’in son bulgularına göre ZenRAT adında yeni bir kötü amaçlı yazılım keşfedildi. Bu kötü amaçlı yazılım, Bitwarden kurulumları gibi görünen sahte indirme paketleri aracılığıyla yayılıyor.
Bu kötü amaçlı yazılım öncelikle Windows kullanıcılarını hedefler ve Windows dışı kullanıcıları zararsız web sayfalarına yönlendirir.
Dağıtım yöntemi bilinmiyor ancak tarihsel emsaller arasında SEO Zehirlenmesi, reklam yazılımı paketleri ve e-posta yer alıyor.
ZenRAT, bilgi çalma yeteneklerine sahip modüler bir Uzaktan Erişim Truva Atı’dır (RAT).
Kötü niyetli aktörlerin, şüphelenmeyen kurbanlardan yararlanmak için sürekli olarak yeni taktikler geliştirmesiyle, dijital alandaki tehdit ortamı sürekli gelişiyor.
10 Ağustos 2023’te Malwarebytes Tehdit İstihbaratı Kıdemli Direktörü Jérôme Segura, endişe verici bir keşfi gün ışığına çıkardı: Windows yazılım yükleme paketinde gizlenmiş bir kötü amaçlı yazılım örneği.
Bu örnek başlangıçta Bitwarden, bitwariden gibi görünen bir web sitesinde bulundu.[.]Raporu, meşru Bitwarden web sitesinin ürkütücü derecede ikna edici bir kopyası olan com.com okuyor.
Sahte Bitwarden web sitesi, bitwariden[.]com, bitwarden ile tema açısından dikkate değer bir benzerlik taşıyor[.]com. Trafiğin bu alana nasıl yönlendirildiği belirsizdir.
Gizemli ZenRAT Kötü Amaçlı Yazılım
Standart bir Bitwarden kurulum paketinin içinde, artık “ZenRAT” olarak bilinen, kötü amaçlı bir .NET çalıştırılabilir dosyası gizliydi.
Bu kötü amaçlı yazılımın nasıl dağıtıldığı bir sır olarak kalıyor. Geçmişte benzer saldırılar, SEO Zehirlenmesi yoluyla, reklam yazılımlarıyla birlikte paketlenerek veya e-posta yoluyla yayılarak gerçekleştirildi.
Bu kötü amaçlı yazılım kampanyasının ayırt edici bir yönü, seçici hedeflemesidir. Kötü amaçlı web sitesi, bir Windows ana bilgisayarından erişildiğinde sahte Bitwarden indirme bağlantısını görüntüler.
Aynı web sitesini ziyaret eden Windows kullanıcısı olmayan kullanıcılar, meşru içeriğin titizlikle kopyalandığı klonlanmış bir opensource.com makalesine yönlendirilir.
Windows kullanıcısı olmayan kullanıcılar kötü amaçlı web sitesini ziyaret etmeye çalışırsa bunun yerine klonlanmış bir opensource(.)com makalesine yönlendirilirler. Bu ekran görüntüsü Ubuntu 22.04’te Mozilla Firefox kullanılarak çekildi.
Ayrıca, Linux veya MacOS için Bitwarden’ı indirmeye çalışan Windows kullanıcıları, orijinal Bitwarden sitesi olan Vault.bitwarden’a yönlendirilir.[.]com.
Ancak, “İndir” düğmesine veya “Windows için Masaüstü yükleyicisine” tıklamak, Crazygameis etki alanında barındırılan “Bitwarden-Installer-version-2023-7-1.exe” dosyasını indirme girişimiyle sonuçlanır.[.]com.
Her iki kötü amaçlı alanın da alan adı kayıt kuruluşu NiceNIC International Group gibi görünürken, sitelerin kendileri de Cloudflare’de barındırılıyor gibi görünüyor.
Kötü amaçlı yükleyici Bitwarden-Installer-version-2023-7-1.exe, VirusTotal’da ilk kez 28 Temmuz 2023’te “CertificateUpdate-version1-102-90” adlı farklı bir adla ortaya çıktı. İlginçtir ki yükleyici, sistem özelliklerini toplamak için kullanılan meşru bir uygulama olan “Speccy” olduğunu iddia ediyor. Bu yükleyicideki dijital imzanın geçersiz olması dikkat çekicidir.
“ApplicationRuntimeMonitor.exe” olarak da bilinen ZenRAT, bu kötü amaçlı yazılımın temel bileşenidir. İlginçtir ki, tamamen farklı bir uygulama gibi görünüyor ve “Monitoring Legacy World Ltd.” tarafından oluşturulduğunu öne süren meta verileri gösteriyor.
Yürütmenin ardından ZenRAT bir dizi sistem kontrolü gerçekleştirir ve ana bilgisayar hakkında aşağıdaki bilgileri toplar:
- CPU Adı
- GPU Adı
- OS sürümü
- Yüklü RAM
- IP adresi ve Ağ Geçidi
- Yüklü Antivirüs
- Yüklü Uygulamalar
Bu bilgiler, çalınan tarayıcı verileri ve kimlik bilgileriyle birlikte “Data.zip” adlı bir zip dosyasında paketlenmiş olarak komuta ve kontrol (C2) sunucusuna gönderilir. Bu zip dosyası, sırasıyla sistem ve uygulama bilgilerini içeren “InstalledApps.txt” ve “SysInfo.txt”yi içerir.
ZenRAT, yürütüldükten sonra C2 sunucusuyla iletişim kurar. Kullandığı C2 protokolü, farklı istemci ve sunucu tarafı iletişim yapılarıyla benzersizdir.
– İstemci Tarafı İletişimi: İstemci, Komut Kimliği ve veri boyutunu içeren 73 baytlık bir paketle ve ardından aynı TCP akışındaki ek paketlerle iletişimi başlatır.
– Sunucu Tarafı İletişimi: Sunucu, müşterinin isteklerine yanıt olarak sabit uzunlukta dokuz baytlık bir paket ve ardından ek paketler gönderir.
ZenRAT çeşitli Komut Kimlikleri sergiler; bunlardan en ilgi çekici olanlarından bazıları şunlardır:
– **Günlükleri Gönder:** ZenRAT, sistem kontrolleri ve doğrulamaları da dahil olmak üzere günlükleri düz metin biçiminde C2 sunucusuna gönderir.
– **Modül Sonuçlarını Gönder:** Bu komut, AES-256-CBC kullanılarak şifrelenmiş verilerle modüllerden sonuçları iletmek için kullanılır.
Görev ve Modül Kimlikleri, ZenRAT’ın modüler ve genişletilebilir olacak şekilde tasarlandığını gösterir; ancak diğer modüller henüz doğada gözlemlenmemiştir.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.