Yeni bir bilgi hırsızlığı yapan kötü amaçlı yazılım çeşidi, açık kaynak şifre yöneticisi Bitwarden’ın sahte kurulum paketlerinin arkasında, yalnızca Windows kullanıcılarını hedef alan ayrıntılı bir planla gizleniyor.
Saldırı, paketleri dağıtmak için sahte bir web sitesi kullanıyor.
Malwarebytes’in tehdit istihbaratı kıdemli yöneticisi araştırmacı Jérôme Segura, kötü amaçlı yazılımın ZenRAT adlı bir örneğini paylaştı — Ağustos ayında Proofpoint’teki araştırmacılarla birlikte şunu ortaya çıkardılar: bir blog yazısı bu hafta yayınlandı.
Segura, kötü amaçlı yazılımı Bitwariden adlı bir web sitesinde keşfetmişti.[.]Proofpoint’ten Tony Robinson ve Proofpoint Tehdit Araştırma Ekibi gönderide, Bitwarden ile ilişkili olduğu iddia edilen ve “gerçek bitwarden.com’a çok ikna edici bir benzeyen” olduğunu yazdı. ZenRAT, site tarafından dağıtılan standart bir Bitwarden kurulum paketiyle birlikte .NET yürütülebilir dosyası olarak paketlenmiş olarak geldi.
Kötü amaçlı yazılım, sistem parmak izi ve yüklü uygulama verilerinin toplanması ve tarayıcılardan şifrelerin ve diğer bilgilerin çalınması ve bir komut ve kontrol (C2) sunucusu aracılığıyla saldırganlara geri gönderilmesi gibi tipik RAT işlevlerini gerçekleştiren çeşitli modüller içerir.
Kampanyanın arkasındaki tehdit aktörleri, kötü amaçlı paketlerin yalnızca Bitwarden’ı Windows platformunda kullanacak kişilere dağıtılmasını sağlamak için büyük çaba harcadı çünkü kimliğe bürünme sitesi, sahte Bitwarden indirmesini yalnızca bir Windows ana bilgisayarı aracılığıyla erişen kullanıcılara sunuyor.
Etki alanına gitmeye çalışan Windows kullanıcısı olmayan kullanıcılar, şifre yöneticisi hakkında klonlanmış bir opensource.com makalesine yönlendirilirken, Linux veya MacOS için işaretlenmiş indirme bağlantılarını tıklayan Windows kullanıcıları bunun yerine meşru Bitwarden sitesi olan Vault.bitwarden.com’a yönlendirilir. araştırmacılar kaydetti.
Araştırmacılar, kullanıcıların sahte Bitwarden sitesine ilk etapta nasıl ulaştığının henüz bilinmediğini, ancak “sahte yazılım yükleyicileri gibi görünen tarihi faaliyetlerin SEO Zehirlenmesi, reklam yazılımı paketleri veya e-posta yoluyla iletildiğini” yazdı.
ZenRAT Nasıl Çalışır?
Bir Windows kullanıcısı kötü amaçlı paketi yüklemek için tıklarsa, bu durum Bitwarden-Installer-version-2023-7-1.exe’yi indirme girişimiyle sonuçlanır. Bu dosya ilk olarak 28 Temmuz’da VirusTotal’da Sertifika Güncelleme adı altında farklı bir adla bildirilmiş gibi görünüyor. -versiyon1-102-90. Araştırmacılar, araştırmacılar tarafından gözlemlenen veri yükünün, blog yazısı yazıldığında kötü amaçlı paketi barındırmayı bırakan çılgıngameis.com alanında barındırıldığını belirtti.
Sisteme virüs bulaştığında, yükleyici dosyası kendisini C:\Users\ dizinine kopyalar.[username]\Appdata\Local\Temp ve aynı dizinde .cmd adında gizli bir dosya oluşturur. Bu dosya hem kendisi hem de yükleyici dosyası için bir kendi kendini silme döngüsü başlatır.
Yükleyici, ApplicationRuntimeMonitor.exe yürütülebilir dosyasının bir kopyasını C:\Users\ dizinine yerleştirir.[username]Araştırmacılar, \AppData\Roaming\Runtime Monitor\’ü çalıştırıyor ve “tamamen farklı bir uygulama olduğunu iddia eden bazı ilginç meta veriler içeren” ZenRAT’ı etkili bir şekilde başlatıyor. Aslında kötü amaçlı yazılımın dosya özellikleri, muhtemelen bir kaçırma mekanizması olarak Monitoring Legacy World Ltd tarafından oluşturulduğunu iddia ediyor.
Kötü amaçlı yazılımın çalışmaya başladıktan sonraki ilk işi, C2 ile iletişim kurmak ve ana bilgisayar hakkında bilgi toplamak için WMI sorgularını ve diğer sistem araçlarını kullanmaktır. Bu bilgiler şunları içerir: CPU adı, GPU adı, işletim sistemi sürümü, yüklü RAM, IP adresi ve ağ geçidi, yüklü antivirüs ve yüklü uygulamalar.
Araştırmacılar, kötü amaçlı yazılımın, bu bilgileri, çalınan tarayıcı verileri/kimlik bilgileriyle birlikte, InstalledApps.txt ve SysInfo.txt dosya adlarını kullanan Data.zip adlı bir zip dosyasında C2 sunucusuna geri gönderdiğini gözlemledi.
Şifre Yöneticilerini Hedefleme
Bu senaryo, tehdit aktörlerinin şifre kasalarında barındırılan kimlik bilgilerini hedeflemenin bir yolu olarak kötü amaçlı faaliyetler için Bitwarden’ı veya diğer şifre yönetimi teknolojisini hedef aldığı ilk durum değil.
Önceki bir kampanyada, 15 milyondan fazla kullanıcısı olan Bitwarden ve benzer bir teknoloji olan 1Password’e yönelik aramalara yanıt olarak kimlik bilgileri çalan kimlik avı sitelerine ücretli reklamlar sunuldu. Saldırganlar daha önce de alanın en büyük oyuncularından biri olan LastPass’ın müşteri şifre kasasını da ihlal etmişti.
Kötü amaçlı yazılımlar genellikle meşru uygulama yükleyicileri gibi davranan dosyalar yoluyla dağıtıldığından, araştırmacılar son kullanıcıların sürekli olarak yazılımı yalnızca doğrudan güvenilir kaynaktan indirmeye dikkat etmelerini önerdi. İnsanlar ayrıca yükleme paketinin meşru olduğundan ve kötü amaçlı bir site tarafından barındırılmadığından emin olmak için yazılım indirmelerini barındıran etki alanlarını resmi web sitesine ait alan adlarıyla doğrulamalıdır.
Araştırmacılar, kötü niyetli yükleyiciler tarafından riske atılmayı önlemenin bir başka yolunun, arama motoru sonuçlarındaki reklamlara karşı dikkatli olmak olduğunu belirtti, “çünkü bu, özellikle geçen yıl içinde bu tür enfeksiyonların ana nedeni gibi görünüyor.”