Um novo malware chamado ZenRAT apareceu recentemente, sendo distribuída por meio de pacotes de instalação falsos do gerenciador de senhas Bitwarden.
"O malware está especificamente direcionado aos usuários do Windows e redirecionará pessoas que usam outros hosts para uma página web inofensiva", disse a empresa de segurança corporativa Proofpoint em um relatório técnico.
"O malware é um trojan modular de acesso remoto (RAT) com capacidades de roubo de informações."
O ZenRAT está hospedado em sites falsos que fingem estar associados ao Bitwarden, embora seja incerto como o tráfego está sendo direcionado para os domínios.
Esse tipo de malware tem sido propagado por meio de ataques de phishing, malvertising ou envenenamento de SEO no passado.
O Payload (Bitwarden-Installer-version-2023-7-1.exe), baixada de crazygameis[.]com, é uma versão trojanizada do pacote de instalação padrão do Bitwarden que contém um executável .NET malicioso (ApplicationRuntimeMonitor.exe).
Um aspecto notável da campanha é que os usuários que acabam visitando o site enganoso a partir de sistemas não Windows são redirecionados para um artigo clonado do opensource[.]com publicado em março de 2018 sobre "Como gerenciar suas senhas com Bitwarden, uma alternativa ao LastPass".
Além disso, os usuários do Windows que clicam nos links de download marcados para Linux ou macOS na página de Downloads são redirecionados para o site legítimo do Bitwarden, vault.bitwarden[.]com.
Uma análise dos metadados do instalador revela tentativas por parte do ator da ameaça de disfarçar o malware como o Speccy da Piriform, um utilitário gratuito do Windows para mostrar informações de hardware e software.
A assinatura digital usada para assinar o executável é não apenas inválida, mas também afirma ter sido assinada por Tim Kosse, um famoso cientista da computação alemão conhecido por desenvolver o software FTP gratuito multiplataforma FileZilla.
ZenRAT, uma vez lançado, coleta detalhes sobre o host, incluindo nome da CPU, nome da GPU, versão do sistema operacional, credenciais do navegador e aplicativos instalados e software de segurança, para um servidor de comando e controle (C2) (185.186.72[.]14) operado pelos atores da ameaça.
"A comunicação do cliente para o C2 é iniciada", disse Proofpoint.
"Independentemente do comando e dos dados extras transmitidos, o primeiro pacote sempre tem 73 bytes."
O ZenRAT também está configurado para transmitir seus logs para o servidor em texto simples, que captura uma série de verificações do sistema realizadas pelo malware e o status da execução de cada módulo, indicando seu uso como um "implante modular e extensível".
Para mitigar tais ameaças, recomenda-se que os usuários baixem software apenas de fontes confiáveis e garantam a autenticidade dos sites.
A divulgação ocorre como o ladrão de informações conhecido como Lumma Stealer tem sido observado comprometendo as indústrias de manufatura, varejo e negócios desde o início de agosto de 2023.
A informação foi entregue por meio de downloads drive-by disfarçados como instaladores falsos, como Chrome e Edge browser installers, e alguns deles foram distribuídos via PrivateLoader", disse eSentire no início deste mês.
Em uma campanha relacionada, sites falsificados que imitam o Google Business Profile e Google Sheets foram encontrados para enganar usuários a instalar um malware stealer chamado Stealc sob o pretexto de uma atualização de segurança.
"Downloads drive-by continuam a ser um método prevalente para espalhar malware, como ladrões de informações e carregadores", observou a empresa canadense de segurança cibernética.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...