Sites falsos do Bitwarden promovem novo malware ZenRAT que rouba senhas
28 de Setembro de 2023

Sites falsos da Bitwarden estão promovendo instaladores supostamente para o gerenciador de senhas de código aberto que contém um novo malware de roubo de senhas que os pesquisadores de segurança chamam de ZenRAT.

O malware é distribuído para usuários do Windows através de sites que imitam o site legítimo da Bitwarden e se baseiam em erros de digitação para enganar potenciais vítimas.

O objetivo do ZenRAT é coletar dados do navegador e credenciais junto com detalhes sobre o host infectado, um comportamento consistente com um ladrão de informações.

Os cibercriminosos podem usar os detalhes para criar uma impressão digital do sistema comprometido que pode ser usada para acessar uma conta como se o usuário legítimo tivesse feito login.

Pesquisadores de segurança da empresa de segurança cibernética Proofpoint descobriram o ZenRAT após receberem em agosto uma amostra do malware de Jérôme Segura, Diretor Sênior de Inteligência de Ameaças da Malwarebytes.

O ponto de distribuição era "uma cópia muito convincente do verdadeiro bitwarden.com" com um nome de domínio escolhido especificamente para induzir os visitantes a acreditar que estavam acessando o recurso oficial - bitwariden[.]com.

Dentro do pacote de instalação falso da Bitwarden, os pesquisadores da Proofpoint encontraram um executável .NET malicioso que é um trojan de acesso remoto (RAT) com recursos de roubo de informações que eles agora estão rastreando como ZenRAT.

O site malicioso fornece o pacote falso da Bitwarden apenas para usuários do Windows, caso contrário, redireciona para uma página clonada de um artigo opensource.com sobre o gerenciador de senhas.

Ao tentar baixar a versão Bitwarden para Linux ou Mac, o usuário é redirecionado para a página oficial de download do software, nota a Proofpoint.

O instalador malicioso da Bitwarden para Windows é entregue a partir de crazygameis[.]com, outra URL falsa para a legítima plataforma de jogos baseada em navegador CrazyGames.

Os pesquisadores não sabem como as vítimas potenciais chegam ao site falso da Bitwarden, mas campanhas de phishing através de anúncios do Google foram usadas no passado para direcionar especificamente usuários da Bitwarden.

Uma vez executado, o ZenRAT usa consultas WMI e outras ferramentas do sistema para coletar dados sobre o host, que incluem:

Os detalhes acima são entregues ao servidor de comando e controle (C2) em um arquivo ZIP que também inclui dados e credenciais coletados do navegador da web.

Antes de se comunicar com o C2, porém, o ZenRAT verifica se o host não está em uma região restrita (Bielo-Rússia, Quirguistão, Cazaquistão, Moldávia, Rússia e Ucrânia).

O malware também verifica se está sendo executado em uma máquina virtual ou em um sandbox, um sinal de que os pesquisadores estão o analisando.

Apesar de ter funções específicas para um ladrão de informações, a Proofpoint encontrou evidências sugerindo que o malware é projetado para ser modular e suas capacidades podem ser expandidas; no entanto, nenhum outro módulo foi observado na natureza.

O gerenciador de senhas Bitwarden tem aumentado em popularidade recentemente, pois é considerado uma alternativa melhor a outros produtos no mercado.

Com um número crescente de usuários, o software e seus usuários se tornam um alvo à medida que os cibercriminosos se aproveitam.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...