Uma nova variedade de malware chamada ZenRAT surgiu à solta e é distribuída por meio de pacotes de instalação falsos do gerenciador de senhas Bitwarden.
“O malware tem como alvo específico os usuários do Windows e redirecionará as pessoas que usam outros hosts para uma página web benigna”, disse a empresa de segurança corporativa Proofpoint em um relatório técnico. “O malware é um trojan modular de acesso remoto (RAT) com capacidade de roubo de informações.”
ZenRAT está hospedado em sites falsos que fingem estar associados ao Bitwarden, embora seja incerto como o tráfego está sendo direcionado para os domínios. Esse malware foi propagado por meio de ataques de phishing, malvertising ou envenenamento de SEO no passado.
A carga útil (Bitwarden-Installer-version-2023-7-1.exe), baixada de crazygameis[.]com, é uma versão trojanizada do pacote de instalação padrão do Bitwarden que contém um executável .NET malicioso (ApplicationRuntimeMonitor.exe).
Um aspecto digno de nota da campanha é que os usuários que visitam o site enganoso a partir de sistemas não Windows são redirecionados para um artigo clonado do opensource.com publicado em março de 2018 sobre "Como gerenciar suas senhas com Bitwarden, uma alternativa LastPass".
Além disso, os usuários do Windows que clicam em links de download marcados para Linux ou macOS na página de downloads são redirecionados para o site legítimo da Bitwarden, vault.bitwarden.com.
Uma análise dos metadados do instalador revela tentativas por parte do agente da ameaça de mascarar o malware como Speccy da Piriform, um utilitário freeware do Windows para mostrar informações de hardware e software.
A assinatura digital usada para assinar o executável não é apenas inválida, mas também afirma ser assinada por Tim Kosse, um conhecido cientista da computação alemão conhecido por desenvolver o software FTP multiplataforma gratuito FileZilla.
ZenRAT, uma vez lançado, reúne detalhes sobre o host, incluindo nome da CPU, nome da GPU, versão do sistema operacional, credenciais do navegador e aplicativos instalados e software de segurança, para um servidor de comando e controle (C2) (185.186.72[.] 14) operados pelos atores da ameaça.
“O cliente inicia a comunicação com o C2”, disse Proofpoint. "Independentemente do comando e dos dados extras transmitidos, o primeiro pacote tem sempre 73 bytes."
O ZenRAT também está configurado para transmitir seus logs ao servidor em texto simples, que captura uma série de verificações do sistema realizadas pelo malware e o status de execução de cada módulo, indicando seu uso como um “implante modular e extensível”.
Para mitigar tais ameaças, é recomendado que os usuários baixem software apenas de fontes confiáveis e garantam a autenticidade dos sites.
A divulgação ocorre no momento em que o ladrão de informações conhecido como Lumma Stealer foi observado comprometendo os setores de manufatura, varejo e negócios desde o início de agosto de 2023.
“O infostealer foi entregue por meio de downloads drive-by disfarçados de instaladores falsos, como os instaladores dos navegadores Chrome e Edge, e alguns deles foram distribuídos via PrivateLoader”, disse eSentire no início deste mês.
Em uma campanha relacionada, descobriu-se que sites fraudulentos que se faziam passar pelo Perfil da Empresa do Google e pelo Planilhas Google enganavam os usuários para que instalassem um malware ladrão chamado Stealc, sob o pretexto de uma atualização de segurança.
“Os downloads drive-by continuam a ser um método predominante para espalhar malware, como ladrões e carregadores de informações”, observou a empresa canadense de segurança cibernética.