Новости Ищете менеджер паролей Bitwarden? Лучше отдайте ZenRAT свой аккаунт

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Крыса прогрызает тайники невнимательных пользователей.


n6nnd0kqsehucc8xs8ia4h51p7zbak16.jpg


Специалисты ИБ-компании Proofpoint Для просмотра ссылки Войди или Зарегистрируйся новый штамм вредоносного ПО под названием ZenRAT, который распространяется через поддельные установочные пакеты популярного менеджера паролей Bitwarden.

По данныи Proofpoint, ZenRAT нацелен на пользователей Windows. При попытке доступа с других систем пользователи перенаправляются на безвредную веб-страницу. ZenRAT является модульным трояном удалённого доступа (Remote Access Trojan, RAT ) с возможностями кражи информации.

Вредоносное ПО размещено на поддельных сайтах, которые имитируют связанные с Bitwarden страницы. Однако пока неясно, как именно трафик направляется на фальшивые домены. Отметим, что обычно вредоносные программы распространяются через фишинг , мошенническую рекламу или атаки через SEO (например, отравление SEO).

Загружаемый файл (Bitwarden-Installer-version-2023-7-1.exe) с сайта crazygameis[.]com представляет собой троянизированную версию стандартного установочного пакета Bitwarden, содержащего вредоносный .NET исполняемый файл (ApplicationRuntimeMonitor.exe).

Примечательно, что пользователи, посещающие мошеннический сайт с систем «не Windows», перенаправляются на клонированную статью opensource.com, опубликованную в марте 2018 года, о том, как управлять паролями с помощью Bitwarden. Кроме того, пользователи Windows, переходящие по ссылкам для скачивания версий для Linux или macOS, перенаправляются на официальный сайт Bitwarden (vault.bitwarden.com).


qw9c08f39iqq6zjaq1r92vh04k3ns997.png


Клонированная статья opensource

Анализ метаданных установщика показывает попытки злоумышленников маскировать вредоносное ПО под Piriform's Speccy – бесплатную утилиту для Windows. Цифровая подпись, использованная для подписи исполняемого файла, не только недействительна, но и якобы подписана Тимом Коссе, известным немецким компьютерным ученым, создателем бесплатного ПО FileZilla.


1glir39gkne492lcdqwy3zl0lls3pgtq.png


Подпись исполняемого файла

После запуска ZenRAT собирает информацию о хосте, включая название процессора, видеокарты, версию ОС, учетные данные браузера и установленные приложения, и отправляет ее на сервер управления и контроля (C2-сервер), управляемый злоумышленниками. Для предотвращения таких угроз рекомендуется скачивать программное обеспечение только из проверенных источников и убеждаться в подлинности веб-сайтов.
 
Источник новости
www.securitylab.ru

Похожие темы