top of page

Ny ZenRAT malware rammer Windows brugere via falsk password manager software

Forfatters billede: Thomas PedersenThomas Pedersen

En ny malware-type kaldet ZenRAT er dukket op i det vilde, og den distribueres via falske installationspakker af Bitwarden adgangskodehåndteringssoftware.



Denne nye udgave af ZenRAT malware er yderst snedig, og benytter en helt ny taktik for at sørge for at blive distribueret.


"Malwaren retter sig specifikt mod Windows-brugere og vil omdirigere folk, der bruger andre værter, til en harmløs web-side" - Teknisk rapport - Proofpoint

ZenRAT er vært på falske hjemmesider, der giver sig ud for at være tilknyttet Bitwarden, selvom det er uklart, hvordan trafikken bliver dirigeret til disse domæner. Denne type malware er tidligere blevet spredt via phishing, ondsindet reklame eller SEO-forgiftning.


"Malwaren er en modulær fjernadgangstrojaner (RAT) med evner til at stjæle informationer" - Teknisk rapport - Proofpoint

Den nyttelast (Bitwarden-Installer-version-2023-7-1.exe), der downloades fra crazygameis[.]com, er en modificeret version af den standard Bitwarden installationspakke, der indeholder en ondsindet .NET-eksekverbar fil (ApplicationRuntimeMonitor.exe).


En bemærkelsesværdig del af kampagnen er, at brugere, der ender med at besøge den vildledende hjemmeside fra ikke-Windows-systemer, bliver omdirigeret til en klonet artikel fra opensource.com, der blev offentliggjort i marts 2018, om "Hvordan du administrerer dine adgangskoder med Bitwarden, et alternativ til LastPass."


Yderligere er Windows-brugere, der klikker på download-links markeret til Linux eller macOS på downloadsiden, omdirigeret til den legitime Bitwarden-side, vault.bitwarden.com.


En analyse af installationsprogrammets metadata afslører forsøg fra trusselsaktørens side på at kamuflere malwaren som Piriform's Speccy, et gratis Windows-værktøj til visning af hardware- og softwareinformation.


Den digitale signatur, der bruges til at signere eksekverbar fil, er ikke kun ugyldig, men hævder også at være signeret af Tim Kosse, en velkendt tysk datalog kendt for at have udviklet den gratis tværplatforms FTP-software FileZilla.


ZenRAT, Bitwarden, Malware, Trojaner, Proofpoint, IT-sikkerhed

Sådan opfører ZenRAT sig efter installation


ZenRAT, når den er lanceret, indsamler detaljer om værten, herunder CPU-navn, GPU-navn, operativsystemversion, browseradgangskoder og installeret software og sikkerhedssoftware, og sender det til en kommandoenhed (C2) server (185.186.72[.]14), der drives af trusselsaktørerne.


"Klienten initierer kommunikationen til C2 - Uanset kommandoen og ekstra data, der transmitteres, er den første pakke altid 73 byte" - Teknisk rapport - Proofpoint

ZenRAT er også konfigureret til at sende sine logfiler til serveren i ren tekst, hvilket fanger en række systemkontroller udført af malwaren og statussen for udførelsen af hver modul, hvilket indikerer dens brug som en "modulær, udvidelig implantat."


For at begrænse sådanne trusler anbefales det, at brugere kun downloader software fra betroede kilder og sikrer sig, at websider er autentiske.


"Drive-by downloads fortsætter med at være en udbredt metode til at sprede malware som informationstyvere og indlæsere" - Teknisk rapport - Proofpoint

Denne offentliggørelse kommer i kølvandet på opdagelsen af informationstyven kendt som Lumma Stealer, der er blevet observeret med at kompromittere fremstillings-, detail- og erhvervssektorerne siden begyndelsen af august 2023. "Infostjæleren blev leveret via drive-by downloads, der var maskeret som falske installatører som f.eks. Chrome og Edge-browserinstallatører, og nogle af dem blev distribueret via PrivateLoader," udtalte eSentire tidligere på måneden.


I en relateret kampagne blev der fundet falske hjemmesider, der udgav sig for at være Google Business Profile og Google Sheets for at narre brugere til at installere en stjæle-malware kendt som Stealc under påskud af en sikkerhedsopdatering.


"Drive-by downloads fortsætter med at være en udbredt metode til at sprede malware som informationstyvere og indlæsere"

Comments


bottom of page