CarderPlanet
Professional
В дикой природе появился новый вид вредоносного ПО под названием ZenRAT , который распространяется через поддельные установочные пакеты Bitwarden password manager.
"Вредоносная программа специально нацелена на пользователей Windows и перенаправляет людей, использующих другие хосты, на безопасную веб-страницу", - говорится в техническом отчете компании по корпоративной безопасности Proofpoint. "Вредоносная программа представляет собой модульный троянец удаленного доступа (RAT) с возможностями кражи информации".
ZenRAT размещается на поддельных веб-сайтах, притворяющихся связанными с Bitwarden, хотя неясно, как трафик направляется на домены. В прошлом такая вредоносная программа распространялась с помощью фишинговых атак, вредоносной рекламы или SEO-отравления.
Полезная нагрузка (Bitwarden-Installer-version-2023-7-1.exe), загруженная с crazygameis[.]com, представляет собой троянскую версию стандартного установочного пакета Bitwarden, содержащую вредоносный .NET исполняемый файл (ApplicationRuntimeMonitor.exe).
Примечательным аспектом кампании является то, что пользователи, которые в конечном итоге посещают обманчивый веб-сайт из систем, отличных от Windows, перенаправляются на клонированный opensource.com в марте 2018 года была опубликована статья о том, "Как управлять своими паролями с помощью Bitwarden, альтернативы LastPass".
Кроме того, пользователи Windows, переходящие по ссылкам загрузки, помеченным для Linux или macOS на странице загрузок, перенаправляются на законный сайт Bitwarden, vault.bitwarden.com.
Анализ метаданных установщика выявляет попытки злоумышленника выдать вредоносное ПО за Piriform's Speccy, бесплатную утилиту Windows для отображения информации об оборудовании и программном обеспечении.
Цифровая подпись, используемая для подписи исполняемого файла, не только недействительна, но и утверждает, что она подписана Тимом Коссе, известным немецким ученым-компьютерщиком, известным разработкой бесплатного кроссплатформенного FTP-программного обеспечения FileZilla.
ZenRAT после запуска собирает сведения о хосте, включая имя процессора, графического процессора, версию операционной системы, учетные данные браузера и установленные приложения и программное обеспечение безопасности, на сервер командования и управления (C2) (185.186.72[.]14), которым управляют субъекты угрозы.
"Клиент инициирует связь с C2", - сказал Proofpoint. "Независимо от команды и переданных дополнительных данных, первый пакет всегда составляет 73 байта".
ZenRAT также настроен на передачу своих журналов на сервер в виде открытого текста, в котором фиксируется серия системных проверок, выполненных вредоносной программой, и статус выполнения каждого модуля, указывающий на его использование в качестве "модульного, расширяемого имплантата".
Для устранения таких угроз пользователям рекомендуется загружать программное обеспечение только из надежных источников и обеспечивать подлинность веб-сайтов.
Раскрытие происходит после того, как с начала августа 2023 года было замечено, что похититель информации, известный как Lumma Stealer, ставит под угрозу производство, розничную торговлю и бизнес-отрасли.
"Infostealer доставлялся путем загрузки с диска, замаскированного под поддельные установщики, такие как установщики браузеров Chrome и Edge, а некоторые из них распространялись через PrivateLoader", - сказал eSentire ранее в этом месяце.
В ходе связанной кампании было обнаружено, что мошеннические веб-сайты, выдававшие себя за Google Business Profile и Google Sheets, обманом заставляли пользователей устанавливать вредоносную программу-похититель, получившую название Stealc, под предлогом обновления для системы безопасности.
"Загрузка с диска продолжает оставаться распространенным методом распространения вредоносных программ, таких как похитители информации и загрузчики", - отметила канадская компания по кибербезопасности.
