En ny malware-variant, der stjæler oplysninger, lurer bag falske installationspakker af open source Password Manager Bitwarden, i et udførligt skema, der udelukkende er rettet mod Windows-brugere.
Angrebet bruger en falsk hjemmeside til at distribuere pakkerne.
Forsker Jérôme Segura, seniordirektør for trusselsintelligens hos Malwarebytes, delte en prøve af malwaren - kaldet ZenRAT — med forskere på Proofpoint i august, afslørede de i et blog-indlæg offentliggjort i denne uge.
Segura havde opdaget malwaren på et websted, bitwariden[.]com, der foregav at være forbundet med Bitwarden og "en meget overbevisende lookalike til den rigtige bitwarden.com," skrev Proofpoints Tony Robinson og Proofpoint Threat Research Team i indlægget. ZenRAT kom pakket som en .NET eksekverbar med en standard Bitwarden installationspakke, der distribueres af webstedet.
Malwaren inkluderer flere moduler, der udfører typiske RAT-funktioner, såsom indsamling af system-fingeraftryk og installerede applikationsdata og stjæle adgangskoder og anden information fra browsere for at sende tilbage til angribere via en kommando-og-kontrol-server (C2).
Trusselsaktørerne bag kampagnen gjorde en stor indsats for at sikre, at de ondsindede pakker kun distribueres til folk, der ville bruge Bitwarden på en Windows-platform, fordi efterligningssiden kun præsenterer den falske Bitwarden-download for brugere, hvis de får adgang til den via en Windows-vært.
Ikke-Windows-brugere, der forsøger at navigere til domænet, omdirigeres til en klonet opensource.com-artikel om adgangskodemanageren, mens Windows-brugere, der klikker på downloadlinks markeret til Linux eller MacOS, i stedet omdirigeres til det legitime Bitwarden-websted, vault.bitwarden.com, bemærkede forskerne.
Hvordan brugere når det falske Bitwarden-websted i første omgang er endnu ukendt, selvom "historiske aktiviteter, der har udgivet sig som falske softwareinstallatører, er blevet leveret via SEO-forgiftning, adware-bundter eller via e-mail," skrev forskerne.
Sådan virker ZenRAT
Hvis en Windows-bruger klikker for at installere den ondsindede pakke, resulterer det i et forsøg på at downloade Bitwarden-Installer-version-2023-7-1.exe, som ser ud til at være blevet rapporteret første gang på VirusTotal den 28. juli under et andet navn, CertificateUpdate -version1-102-90. Nyttelasten observeret af forskerne var hostet på domænet crazygameis.com, som på det tidspunkt, hvor blogindlægget blev skrevet, var holdt op med at hoste den ondsindede pakke, bemærkede forskerne.
Once a system is infected, the installer file copies itself to C:UsersAppdataLocalTemp and creates a hidden file, .cmd, in the same directory. This file launches a self-deletion loop for both itself and the installer file.
The installer places a copy of an executable, ApplicationRuntimeMonitor.exe, into C:UsersAppDataRoamingRuntime Monitor, and runs it, effectively launching ZenRAT, which “features some interesting metadata claiming to be a completely different application,” the researchers noted. Indeed, the file properties of the malware claim that it is created by Monitoring Legacy World Ltd, likely as an evasion mechanism.
malwares første ordre, når det begynder at køre, er at etablere kommunikation med C2 og bruge WMI-forespørgsler og andre systemværktøjer til at indsamle information om værten. Disse oplysninger inkluderer: CPU-navn, GPU-navn, OS-version, installeret RAM, IP-adresse og gateway, installeret antivirus og installerede applikationer.
Forskerne observerede, at malwaren sendte disse oplysninger tilbage til sin C2-server sammen med stjålne browserdata/legitimationsoplysninger i en zip-fil kaldet Data.zip, der bruger filnavnene InstalledApps.txt og SysInfo.txt.
Målretning af adgangskodeadministratorer
Scenariet er ikke første gang, trusselsaktører har målrettet Bitwarden eller andet adgangskodeadministration teknologi til ondsindet aktivitet som en måde at målrette mod de legitimationsoplysninger, der er hostet i deres adgangskodebokse.
A tidligere kampagne leveret betalte annoncer til phishing-websteder, der stjæler legitimationsoplysninger som svar på søgninger efter Bitwarden, som har mere end 15 millioner brugere, og en lignende teknologi, 1Password. Angribere har også tidligere overtrådt kundekodeboks of LastPass, en af de største aktører i rummet.
Da malware ofte leveres via filer, der udgiver sig for at være legitime applikationsinstallatører, anbefalede forskerne, at slutbrugere konsekvent var opmærksomme på kun at downloade software direkte fra den pålidelige kilde. Folk bør også verificere domænerne, der hoster softwaredownloads, mod domæner, der tilhører det officielle websted for at sikre, at installationspakken er legitim og ikke hostes af et ondsindet websted.
En anden måde at undgå at blive kompromitteret af ondsindede installatører er at være på vagt over for annoncer i søgemaskineresultater, bemærkede forskerne, "da det ser ud til at være en væsentlig årsag til infektioner af denne art, især inden for det sidste år."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/endpoint/novel-zenrat-scurries-onto-systems-via-fake-password-manager-tool
- :har
- :er
- :ikke
- 15 %
- 28
- 7
- a
- Om
- adgang
- aktiviteter
- aktivitet
- aktører
- adresse
- annoncer
- mod
- sammen
- også
- an
- ,
- antivirus
- kommer til syne
- Anvendelse
- applikationer
- ER
- artikel
- AS
- forbundet
- At
- angribe
- forsøg
- forsøger
- AUGUST
- undgå
- tilbage
- BE
- fordi
- været
- bag
- være
- tilhører
- Blog
- både
- browser
- browsere
- bundter
- virksomhed
- by
- kaldet
- kom
- Kampagne
- krav
- hævder
- Indsamling
- KOM
- Kommunikation
- fuldstændig
- Kompromitteret
- konsekvent
- oprettet
- skaber
- Legitimationsoplysninger
- data
- leveret
- forskellige
- direkte
- Direktør
- opdaget
- distribuere
- distribueret
- domæne
- Domæner
- downloade
- downloads
- driver
- døbt
- effektivt
- Uddybe
- ende
- Engine (Motor)
- sikre
- især
- etablere
- unddragelse
- udelukkende
- falsk
- Funktionalitet
- File (Felt)
- Filer
- Fornavn
- første gang
- Til
- fra
- funktioner
- gateway
- samle
- GPU
- stor
- havde
- Have
- Skjult
- historisk
- host
- hostede
- Hosting
- HTTPS
- if
- in
- omfatter
- faktisk
- infektioner
- info
- oplysninger
- installere
- installation
- installeret
- i stedet
- Intelligens
- interessant
- ind
- IP
- IP-adresse
- isn
- IT
- ITS
- selv
- jpg
- juli
- største
- Efternavn
- Sidste år
- lanceringer
- lancering
- Legacy
- legitim
- Sandsynlig
- links
- linux
- Ltd
- MacOS
- større
- malware
- Malwarebytes
- leder
- markeret
- maskerade
- mekanisme
- Metadata
- million
- Moduler
- Overvåg
- overvågning
- mere
- navn
- navne
- Natur
- Naviger
- netto
- bemærkede
- roman
- of
- officiel
- Officiel hjemmeside
- tit
- on
- engang
- ONE
- kun
- på
- åbent
- open source
- opensource
- or
- ordrer
- OS
- Andet
- pakke
- emballeret
- pakker
- betalt
- Adgangskode
- Password Manager
- Nulstilling/ændring af adgangskoder
- Mennesker
- Udfør
- Phishing
- Phishing-websteder
- Place
- Steder
- perron
- plato
- Platon Data Intelligence
- PlatoData
- spillere
- Indlæg
- gaver
- tidligere
- egenskaber
- offentliggjort
- forespørgsler
- RAM
- ROTTE
- nå
- ægte
- anbefales
- rapporteret
- forskning
- forskere
- svar
- Resultater
- Revealed
- kører
- løber
- s
- samme
- scenarie
- Ordningen
- Søg
- søgemaskine
- søgninger
- synes
- send
- afsendelse
- senior
- SEO
- server
- flere
- delt
- bør
- lignende
- siden
- websted
- Websteder
- Software
- nogle
- Kilde
- Space
- standard
- starter
- stjålet
- sådan
- systemet
- Systemer
- mål
- målrettet
- rettet mod
- hold
- Teknologier
- end
- at
- deres
- de
- denne
- denne uge
- selvom?
- trussel
- trusselsaktører
- tid
- til
- Tony
- værktøj
- værktøjer
- betroet
- typisk
- under
- ukendt
- brug
- Bruger
- brugere
- bruger
- Variant
- Vault
- hvælvinger
- verificere
- udgave
- meget
- via
- var
- Vej..
- Hjemmeside
- uge
- gik
- som
- mens
- WHO
- vinduer
- med
- inden for
- world
- ville
- skriftlig
- skrev
- år
- endnu
- zephyrnet
- Zip