Varian baru malware pencuri informasi bersembunyi di balik paket instalasi open source palsu password manager Bitwarden, dalam skema rumit yang secara eksklusif menargetkan pengguna Windows.
Serangan tersebut menggunakan situs palsu untuk mendistribusikan paket.
Peneliti Jรฉrรดme Segura, direktur senior intelijen ancaman di Malwarebytes, membagikan sampel malware tersebut โ dijuluki ZenRAT - dengan para peneliti di Proofpoint pada bulan Agustus, mereka mengungkapkannya posting blog diterbitkan minggu ini
Segura telah menemukan malware tersebut di sebuah situs web, bitwariden[.]com, yang mengaku terkait dengan Bitwarden dan โsangat mirip dengan bitwarden.com yang asli,โ tulis Tony Robinson dari Proofpoint dan Tim Riset Ancaman Proofpoint dalam postingan tersebut. ZenRAT dikemas sebagai .NET yang dapat dieksekusi dengan paket instalasi Bitwarden standar yang didistribusikan oleh situs.
Malware ini mencakup beberapa modul yang menjalankan fungsi RAT yang umum, seperti mengumpulkan data sidik jari sistem dan aplikasi yang diinstal, serta mencuri kata sandi dan informasi lainnya dari browser untuk dikirim kembali ke penyerang melalui server perintah dan kontrol (C2).
Pelaku ancaman di balik kampanye ini berusaha keras untuk memastikan bahwa paket berbahaya hanya didistribusikan kepada orang-orang yang akan menggunakan Bitwarden pada platform Windows karena situs peniruan identitas menyajikan unduhan Bitwarden palsu kepada pengguna hanya jika mereka mengaksesnya melalui host Windows.
Pengguna non-Windows yang mencoba menavigasi ke domain akan dialihkan ke artikel opensource.com yang dikloning tentang pengelola kata sandi, sementara pengguna Windows yang mengeklik tautan unduhan yang ditandai untuk Linux atau MacOS akan dialihkan ke situs Bitwarden yang sah, vault.bitwarden.com, para peneliti mencatat.
Bagaimana pengguna mencapai situs Bitwarden palsu masih belum diketahui, meskipun โaktivitas bersejarah yang menyamar sebagai penginstal perangkat lunak palsu telah dilakukan melalui SEO Poisoning, bundel adware, atau melalui email,โ tulis para peneliti.
Bagaimana ZenRAT Bekerja
Jika pengguna Windows mengklik untuk menginstal paket berbahaya, hal ini mengakibatkan upaya mengunduh Bitwarden-Installer-version-2023-7-1.exe, yang tampaknya pertama kali dilaporkan di VirusTotal pada 28 Juli dengan nama berbeda, CertificateUpdate -versi1-102-90. Payload yang diamati oleh para peneliti dihosting di domain crazygameis.com, yang pada saat posting blog ini ditulis telah berhenti menghosting paket jahat tersebut, catat para peneliti.
Setelah sistem terinfeksi, file penginstal akan menyalin dirinya ke C:UsersAppdataLocalTemp dan membuat file tersembunyi, .cmd, di direktori yang sama. File ini meluncurkan loop penghapusan mandiri untuk dirinya sendiri dan file penginstal.
Penginstal menempatkan salinan yang dapat dieksekusi, ApplicationRuntimeMonitor.exe, ke dalam C:UsersAppDataRoamingRuntime Monitor, dan menjalankannya, secara efektif meluncurkan ZenRAT, yang โmenampilkan beberapa metadata menarik yang mengklaim sebagai aplikasi yang sama sekali berbeda,โ catat para peneliti. Memang benar, properti file dari malware tersebut mengklaim bahwa itu dibuat oleh Monitoring Legacy World Ltd, kemungkinan besar sebagai mekanisme penghindaran.
Grafik malware Urutan pertama bisnis setelah mulai berjalan adalah menjalin komunikasi dengan C2 dan menggunakan kueri WMI serta alat sistem lainnya untuk mengumpulkan informasi tentang host. Info ini meliputi: nama CPU, nama GPU, versi OS, RAM yang terpasang, alamat IP dan gateway, antivirus yang terinstal, dan aplikasi yang terinstal.
Para peneliti mengamati malware mengirimkan informasi ini kembali ke server C2 bersama dengan data/kredensial browser yang dicuri dalam file zip bernama Data.zip yang menggunakan nama file InstalledApps.txt dan SysInfo.txt.
Menargetkan Pengelola Kata Sandi
Skenario ini bukan pertama kalinya pelaku ancaman menargetkan Bitwarden atau lainnya manajemen kata sandi teknologi untuk aktivitas jahat sebagai cara untuk menargetkan kredensial yang dihosting di brankas kata sandi mereka.
A kampanye sebelumnya mengirimkan iklan berbayar ke situs phishing pencuri kredensial sebagai respons terhadap penelusuran Bitwarden, yang memiliki lebih dari 15 juta pengguna, dan teknologi serupa, 1Password. Penyerang juga sebelumnya telah melanggar brankas kata sandi pelanggan of LastPass, salah satu pemain terbesar di luar angkasa.
Karena malware sering kali dikirimkan melalui file yang menyamar sebagai penginstal aplikasi yang sah, para peneliti menyarankan agar pengguna akhir selalu berhati-hati untuk hanya mengunduh perangkat lunak langsung dari sumber tepercaya. Orang-orang juga harus memverifikasi unduhan perangkat lunak hosting domain terhadap domain milik situs web resmi untuk memastikan bahwa paket instalasi sah dan tidak dihosting oleh situs jahat.
Cara lain agar tidak disusupi oleh penginstal jahat adalah dengan mewaspadai iklan di hasil mesin pencari, kata para peneliti, โkarena hal tersebut tampaknya menjadi pendorong utama infeksi semacam ini, terutama dalam setahun terakhir.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/endpoint/novel-zenrat-scurries-onto-systems-via-fake-password-manager-tool
- :memiliki
- :adalah
- :bukan
- 15%
- 28
- 7
- a
- Tentang Kami
- mengakses
- kegiatan
- kegiatan
- aktor
- alamat
- iklan
- terhadap
- sepanjang
- juga
- an
- dan
- antivirus
- muncul
- Aplikasi
- aplikasi
- ADALAH
- artikel
- AS
- terkait
- At
- menyerang
- usaha
- berusaha
- Agustus
- menghindari
- kembali
- BE
- karena
- menjadi
- di belakang
- makhluk
- termasuk
- Blog
- kedua
- Browser
- browser
- bundel
- bisnis
- by
- bernama
- datang
- Kampanye
- klaim
- mengklaim
- Mengumpulkan
- COM
- Komunikasi
- sama sekali
- Dikompromikan
- secara konsisten
- dibuat
- menciptakan
- Surat kepercayaan
- data
- disampaikan
- berbeda
- langsung
- Kepala
- ditemukan
- mendistribusikan
- didistribusikan
- domain
- domain
- Download
- download
- pengemudi
- dijuluki
- efektif
- Rumit
- akhir
- Mesin
- memastikan
- terutama
- menetapkan
- penghindaran
- khusus
- gadungan
- Fitur
- File
- File
- Pertama
- pertama kali
- Untuk
- dari
- fungsi
- pintu gerbang
- mengumpulkan
- GPU
- besar
- memiliki
- Memiliki
- Tersembunyi
- bersejarah
- tuan rumah
- host
- tuan
- HTTPS
- if
- in
- termasuk
- memang
- infeksi
- Info
- informasi
- install
- instalasi
- diinstal
- sebagai gantinya
- Intelijen
- menarik
- ke
- IP
- Alamat IP
- adalah n
- IT
- NYA
- Diri
- jpg
- Juli
- terbesar
- Terakhir
- Tahun lalu
- meluncurkan
- peluncuran
- Warisan
- sah
- Mungkin
- link
- linux
- Ltd
- macos
- utama
- malware
- Malwarebytes
- manajer
- ditandai
- menyamar
- mekanisme
- Metadata
- juta
- Modul
- Memantau
- pemantauan
- lebih
- nama
- nama
- Alam
- Arahkan
- bersih
- terkenal
- novel
- of
- resmi
- Situs Resmi
- sering
- on
- sekali
- ONE
- hanya
- ke
- Buka
- open source
- opensource
- or
- urutan
- OS
- Lainnya
- paket
- dikemas
- paket
- dibayar
- Kata Sandi
- password manager
- password
- Konsultan Ahli
- Melakukan
- Phishing
- Situs Phishing
- Tempat
- Tempat
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- pemain
- Pos
- hadiah
- sebelumnya
- properties
- diterbitkan
- query
- RAM
- TIKUS
- mencapai
- nyata
- direkomendasikan
- Dilaporkan
- penelitian
- peneliti
- tanggapan
- Hasil
- Terungkap
- berjalan
- berjalan
- s
- sama
- skenario
- skema
- Pencarian
- mesin pencari
- pencarian
- tampaknya
- mengirim
- mengirim
- senior
- SEO
- Server
- beberapa
- berbagi
- harus
- mirip
- sejak
- situs web
- Situs
- Perangkat lunak
- beberapa
- sumber
- Space
- standar
- dimulai
- dicuri
- seperti itu
- sistem
- sistem
- target
- ditargetkan
- penargetan
- tim
- Teknologi
- dari
- bahwa
- Grafik
- mereka
- mereka
- ini
- minggu ini
- meskipun?
- ancaman
- aktor ancaman
- waktu
- untuk
- Tony
- alat
- alat
- Terpercaya
- khas
- bawah
- tidak dikenal
- menggunakan
- Pengguna
- Pengguna
- kegunaan
- Varian
- Kubah
- kubah
- memeriksa
- versi
- sangat
- melalui
- adalah
- Cara..
- Situs Web
- minggu
- pergi
- yang
- sementara
- SIAPA
- Windows
- dengan
- dalam
- dunia
- akan
- tertulis
- menulis
- tahun
- namun
- zephyrnet.dll
- Zip