Dietro i falsi pacchetti di installazione open source si nasconde una nuova variante di malware che ruba informazioni gestore di password Bitwarden, in uno schema elaborato rivolto esclusivamente agli utenti Windows.
L'attacco utilizza un sito Web falso per distribuire i pacchetti.
Il ricercatore Jérôme Segura, direttore senior dell'intelligence sulle minacce di Malwarebytes, ha condiviso un campione del malware, soprannominato ZenRAT - con i ricercatori di Proofpoint in agosto, hanno rivelato un post sul blog pubblicato questa settimana.
Segura aveva scoperto il malware su un sito web, bitwariden[.]com, che sembrava essere associato a Bitwarden e "un sosia molto convincente del vero bitwarden.com", hanno scritto nel post Tony Robinson di Proofpoint e il team di ricerca sulle minacce di Proofpoint. ZenRAT è stato fornito come eseguibile .NET con un pacchetto di installazione Bitwarden standard distribuito dal sito.
Il malware include diversi moduli che eseguono funzioni tipiche dei RAT, come la raccolta di dati sulle impronte digitali del sistema e sulle applicazioni installate e il furto di password e altre informazioni dai browser per inviarle agli aggressori tramite un server di comando e controllo (C2).
Gli autori delle minacce dietro la campagna hanno fatto di tutto per garantire che i pacchetti dannosi fossero distribuiti solo alle persone che utilizzerebbero Bitwarden su una piattaforma Windows perché il sito di imitazione presenta il falso download di Bitwarden agli utenti solo se accedono tramite un host Windows.
Gli utenti non Windows che tentano di accedere al dominio vengono reindirizzati a un articolo clonato di opensource.com sul gestore delle password, mentre gli utenti Windows che fanno clic sui collegamenti di download contrassegnati per Linux o MacOS vengono invece reindirizzati al sito legittimo di Bitwarden, vault.bitwarden.com, hanno notato i ricercatori.
Il modo in cui gli utenti raggiungono il falso sito Bitwarden è ancora sconosciuto, anche se "attività storiche che si sono mascherate da falsi programmi di installazione di software sono state fornite tramite SEO Poisoning, pacchetti di adware o via e-mail", hanno scritto i ricercatori.
Come funziona ZenRAT
Se un utente Windows fa clic per installare il pacchetto dannoso, tenta di scaricare Bitwarden-Installer-version-2023-7-1.exe, che sembra essere stato segnalato per la prima volta su VirusTotal il 28 luglio con un nome diverso, CertificateUpdate -versione1-102-90. Il payload osservato dai ricercatori era ospitato sul dominio Crazygameis.com, che nel momento in cui è stato scritto il post sul blog aveva smesso di ospitare il pacchetto dannoso, hanno notato i ricercatori.
Una volta infetto un sistema, il file di installazione si copia in C:UsersAppdataLocalTemp e crea un file nascosto, .cmd, nella stessa directory. Questo file avvia un ciclo di autoeliminazione sia per se stesso che per il file di installazione.
Il programma di installazione inserisce una copia di un eseguibile, ApplicationRuntimeMonitor.exe, in C:UsersAppDataRoamingRuntime Monitor e lo esegue, avviando effettivamente ZenRAT, che "presenta alcuni metadati interessanti che affermano di essere un'applicazione completamente diversa", hanno osservato i ricercatori. In effetti, le proprietà del file del malware affermano che è stato creato da Monitoring Legacy World Ltd, probabilmente come meccanismo di evasione.
I di malware Il primo ordine del giorno una volta avviato è stabilire la comunicazione con C2 e utilizzare query WMI e altri strumenti di sistema per raccogliere informazioni sull'host. Queste informazioni includono: nome CPU, nome GPU, versione del sistema operativo, RAM installata, indirizzo IP e gateway, antivirus installato e applicazioni installate.
I ricercatori hanno osservato che il malware inviava queste informazioni al suo server C2 insieme ai dati/credenziali del browser rubati in un file zip chiamato Data.zip che utilizza i nomi di file InstalledApps.txt e SysInfo.txt.
Targeting per i gestori di password
Non è la prima volta che gli autori delle minacce prendono di mira Bitwarden o altri gestione delle password tecnologia per attività dannose come un modo per prendere di mira le credenziali ospitate nei loro archivi di password.
A campagna precedente ha pubblicato annunci a pagamento su siti di phishing che rubavano credenziali in risposta alle ricerche di Bitwarden, che ha più di 15 milioni di utenti, e di una tecnologia simile, 1Password. Gli aggressori hanno anche violato in precedenza il file archivio password del cliente of LastPass, uno dei più grandi attori nel settore.
Poiché il malware viene spesso distribuito tramite file mascherati da programmi di installazione di applicazioni legittime, i ricercatori hanno raccomandato agli utenti finali di prestare sempre attenzione a scaricare il software solo direttamente dalla fonte attendibile. Le persone dovrebbero inoltre verificare i domini che ospitano i download di software rispetto ai domini appartenenti al sito Web ufficiale per garantire che il pacchetto di installazione sia legittimo e non sia ospitato da un sito dannoso.
Un altro modo per evitare di essere compromessi da programmi di installazione dannosi è quello di diffidare degli annunci pubblicitari nei risultati dei motori di ricerca, hanno osservato i ricercatori, "poiché sembra essere uno dei principali fattori che causano infezioni di questo tipo, soprattutto nell'ultimo anno".
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint/novel-zenrat-scurries-onto-systems-via-fake-password-manager-tool
- :ha
- :È
- :non
- 15%
- 28
- 7
- a
- Chi siamo
- accesso
- attività
- attività
- attori
- indirizzo
- Ads - Annunci
- contro
- lungo
- anche
- an
- ed
- antivirus
- appare
- Applicazioni
- applicazioni
- SONO
- articolo
- AS
- associato
- At
- attacco
- tentativo
- il tentativo
- AGOSTO
- evitare
- precedente
- BE
- perché
- stato
- dietro
- essendo
- appartenente
- Blog
- entrambi
- del browser
- browser
- pachetti sconto
- affari
- by
- detto
- è venuto
- Campagna
- rivendicare
- sostenendo
- Raccolta
- COM
- Comunicazione
- completamente
- Compromissione
- costantemente
- creato
- crea
- Credenziali
- dati
- consegnato
- diverso
- direttamente
- Direttore
- scoperto
- distribuire
- distribuito
- dominio
- domini
- scaricare
- download
- autista
- soprannominato
- in maniera efficace
- Elaborare
- fine
- motore
- garantire
- particolarmente
- stabilire
- evasione
- esclusivamente
- falso
- Caratteristiche
- Compila il
- File
- Nome
- prima volta
- Nel
- da
- funzioni
- porta
- raccogliere
- GPU
- grande
- ha avuto
- Avere
- nascosto
- storico
- host
- ospitato
- di hosting
- HTTPS
- if
- in
- inclusi
- infatti
- infezioni
- info
- informazioni
- install
- installazione
- installato
- invece
- Intelligence
- interessante
- ai miglioramenti
- IP
- Indirizzo IP
- ISN
- IT
- SUO
- stessa
- jpg
- Luglio
- maggiore
- Cognome
- L'anno scorso
- lancia
- lancio
- Eredità
- legittimo
- probabile
- Collegamento
- linux
- Ltd
- macos
- maggiore
- il malware
- Malwarebytes
- direttore
- segnato
- mascherata
- meccanismo
- Metadati
- milione
- moduli
- Monitorare
- monitoraggio
- Scopri di più
- Nome
- nomi
- Natura
- Navigare
- rete
- noto
- romanzo
- of
- ufficiale
- Sito ufficiale
- di frequente
- on
- una volta
- ONE
- esclusivamente
- su
- aprire
- open source
- opensource
- or
- minimo
- OS
- Altro
- pacchetto
- confezionati
- Packages
- pagato
- Password
- gestore di password
- Le password
- Persone
- Eseguire
- phishing
- Siti di phishing
- posto
- Partner
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- giocatori
- Post
- regali
- in precedenza
- proprietà
- pubblicato
- query
- RAM
- RAT
- raggiungere
- di rose
- raccomandato
- Segnalati
- riparazioni
- ricercatori
- risposta
- Risultati
- Rivelato
- running
- corre
- s
- stesso
- scenario
- schema
- Cerca
- motore di ricerca
- Ricerche
- sembra
- inviare
- invio
- anziano
- SEO
- server
- alcuni
- condiviso
- dovrebbero
- simile
- da
- site
- Siti
- Software
- alcuni
- Fonte
- lo spazio
- Standard
- inizio
- rubare
- tale
- sistema
- SISTEMI DI TRATTAMENTO
- Target
- mirata
- mira
- team
- Tecnologia
- di
- che
- I
- loro
- di
- questo
- questa settimana
- anche se?
- minaccia
- attori della minaccia
- tempo
- a
- Tony
- strumenti
- di fiducia
- tipico
- per
- Sconosciuto
- uso
- Utente
- utenti
- usa
- Variante
- Volta
- volte
- verificare
- versione
- molto
- via
- Prima
- Modo..
- Sito web
- settimana
- è andato
- quale
- while
- OMS
- finestre
- con
- entro
- mondo
- sarebbe
- scritto
- ha scritto
- anno
- ancora
- zefiro
- Codice postale