Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Установочный пакет BitWarden может оказаться трояном ZenRAT

28/09/23

hack61-Sep-28-2023-09-09-18-5808-AM

Специалисты ИБ-компании Proofpoint обнаружили новый штамм вредоносного ПО под названием ZenRAT, который распространяется через поддельные установочные пакеты популярного менеджера паролей Bitwarden.

По данныи Proofpoint, ZenRAT нацелен на пользователей Windows. При попытке доступа с других систем пользователи перенаправляются на безвредную веб-страницу. ZenRAT является модульным трояном удалённого доступа (Remote Access Trojan, RAT) с возможностями кражи информации. Об этом пишет Securitylab.

Вредоносное ПО размещено на поддельных сайтах, которые имитируют связанные с Bitwarden страницы. Однако пока неясно, как именно трафик направляется на фальшивые домены. Отметим, что обычно вредоносные программы распространяются через фишинг, мошенническую рекламу или атаки через SEO (например, отравление SEO).

Загружаемый файл (Bitwarden-Installer-version-2023-7-1.exe) с сайта crazygameis[.]com представляет собой троянизированную версию стандартного установочного пакета Bitwarden, содержащего вредоносный .NET исполняемый файл (ApplicationRuntimeMonitor.exe).

Примечательно, что пользователи, посещающие мошеннический сайт с систем «не Windows», перенаправляются на клонированную статью opensource.com, опубликованную в марте 2018 года, о том, как управлять паролями с помощью Bitwarden. Кроме того, пользователи Windows, переходящие по ссылкам для скачивания версий для Linux или macOS, перенаправляются на официальный сайт Bitwarden (vault.bitwarden.com).

Анализ метаданных установщика показывает попытки злоумышленников маскировать вредоносное ПО под Piriform's Speccy – бесплатную утилиту для Windows. Цифровая подпись, использованная для подписи исполняемого файла, не только недействительна, но и якобы подписана Тимом Коссе, известным немецким компьютерным ученым, создателем бесплатного ПО FileZilla.

После запуска ZenRAT собирает информацию о хосте, включая название процессора, видеокарты, версию ОС, учетные данные браузера и установленные приложения, и отправляет ее на сервер управления и контроля (C2-сервер), управляемый злоумышленниками. Для предотвращения таких угроз рекомендуется скачивать программное обеспечение только из проверенных источников и убеждаться в подлинности веб-сайтов.

Темы:WindowsУгрозыпаролиProofpointRAT-трояны
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...