Ищете менеджер паролей Bitwarden? Лучше отдайте ZenRAT свой аккаунт

Специалисты ИБ-компании Proofpoint обнаружили новый штамм вредоносного ПО под названием ZenRAT, который распространяется через поддельные установочные пакеты популярного менеджера паролей Bitwarden.

По данныи Proofpoint, ZenRAT нацелен на пользователей Windows. При попытке доступа с других систем пользователи перенаправляются на безвредную веб-страницу. ZenRAT является модульным трояном удалённого доступа (Remote Access Trojan, RAT) с возможностями кражи информации.

Вредоносное ПО размещено на поддельных сайтах, которые имитируют связанные с Bitwarden страницы. Однако пока неясно, как именно трафик направляется на фальшивые домены. Отметим, что обычно вредоносные программы распространяются через фишинг, мошенническую рекламу или атаки через SEO (например, отравление SEO).

Загружаемый файл (Bitwarden-Installer-version-2023-7-1.exe) с сайта crazygameis[.]com представляет собой троянизированную версию стандартного установочного пакета Bitwarden, содержащего вредоносный .NET исполняемый файл (ApplicationRuntimeMonitor.exe).

Примечательно, что пользователи, посещающие мошеннический сайт с систем «не Windows», перенаправляются на клонированную статью opensource.com, опубликованную в марте 2018 года, о том, как управлять паролями с помощью Bitwarden. Кроме того, пользователи Windows, переходящие по ссылкам для скачивания версий для Linux или macOS, перенаправляются на официальный сайт Bitwarden (vault.bitwarden.com).

Клонированная статья opensource

Анализ метаданных установщика показывает попытки злоумышленников маскировать вредоносное ПО под Piriform's Speccy – бесплатную утилиту для Windows. Цифровая подпись, использованная для подписи исполняемого файла, не только недействительна, но и якобы подписана Тимом Коссе, известным немецким компьютерным ученым, создателем бесплатного ПО FileZilla.

Подпись исполняемого файла

После запуска ZenRAT собирает информацию о хосте, включая название процессора, видеокарты, версию ОС, учетные данные браузера и установленные приложения, и отправляет ее на сервер управления и контроля (C2-сервер), управляемый злоумышленниками. Для предотвращения таких угроз рекомендуется скачивать программное обеспечение только из проверенных источников и убеждаться в подлинности веб-сайтов.