Une nouvelle souche de malware appelée ZenRAT a émergé dans la nature et est distribué via de faux packages d’installation du gestionnaire de mots de passe Bitwarden.
« Le malware cible spécifiquement les utilisateurs de Windows et redirigera les personnes utilisant d’autres hôtes vers une page Web inoffensive », a déclaré la société de sécurité d’entreprise Proofpoint. dit dans un rapport technique. « Le malware est un cheval de Troie d’accès à distance (RAT) modulaire doté de capacités de vol d’informations. »
ZenRAT est hébergé sur de faux sites Web prétendant être associés à Bitwarden, bien qu’il soit incertain quant à la manière dont le trafic est dirigé vers les domaines. De tels logiciels malveillants se sont propagés par le passé via des attaques de phishing, de publicité malveillante ou d’empoisonnement SEO.
La charge utile (Bitwarden-Installer-version-2023-7-1.exe), téléchargée depuis crazygameis[.]com, est une version trojanisée du package d’installation standard de Bitwarden qui contient un exécutable .NET malveillant (ApplicationRuntimeMonitor.exe).
Un aspect remarquable de la campagne est que les utilisateurs qui finissent par visiter le site Web trompeur à partir de systèmes non Windows sont redirigés vers un site cloné. article sur opensource.com publié en mars 2018 sur « Comment gérer vos mots de passe avec Bitwarden, une alternative LastPass ».
De plus, les utilisateurs Windows cliquant sur les liens de téléchargement marqués pour Linux ou macOS sur la page Téléchargements sont redirigés vers le site Bitwarden légitime, vault.bitwarden.com.
Une analyse des métadonnées du programme d’installation révèle des tentatives de la part de l’acteur malveillant de faire passer le malware pour Piriform’s Speccy, un utilitaire Windows gratuit permettant d’afficher des informations sur le matériel et les logiciels.
La signature numérique utilisée pour signer l’exécutable est non seulement invalide, mais prétend également être signée par Tim Kosse, un informaticien allemand bien connu connu pour avoir développé le logiciel FTP multiplateforme gratuit FileZilla.
ZenRAT, une fois lancé, rassemble des détails sur l’hôte, notamment le nom du processeur, le nom du GPU, la version du système d’exploitation, les informations d’identification du navigateur ainsi que les applications et logiciels de sécurité installés, sur un serveur de commande et de contrôle (C2) (185.186.72).[.]14) exploités par les acteurs menaçants.
« Le client initie la communication avec le C2 », a déclaré Proofpoint. « Indépendamment de la commande et des données supplémentaires transmises, le premier paquet fait toujours 73 octets. »
ZenRAT est également configuré pour transmettre ses journaux au serveur en texte clair, qui capture une série de vérifications du système effectuées par le malware et l’état d’exécution de chaque module, indiquant son utilisation comme « implant modulaire et extensible ».
Pour atténuer ces menaces, il est recommandé aux utilisateurs de télécharger des logiciels uniquement à partir de sources fiables et de garantir l’authenticité des sites Web.
La divulgation intervient alors que le voleur d’informations connu sous le nom de Lumma Stealer a été observé compromettant les secteurs de la fabrication, de la vente au détail et des affaires depuis début août 2023.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
« L’infostealer a été livré via des téléchargements drive-by déguisés en faux installateurs tels que les installateurs de navigateurs Chrome et Edge, et certains d’entre eux ont été distribués via PrivateLoader », eSentire dit plus tôt ce mois-ci.
Dans une campagne connexe, des sites Web malveillants se faisant passer pour Google Business Profile et Google Sheets ont été découverts pour inciter les utilisateurs à installer un malware voleur baptisé Stealc sous prétexte d’une mise à jour de sécurité.
« Les téléchargements au volant continuent d’être une méthode répandue pour propager des logiciels malveillants, tels que des voleurs et des chargeurs d’informations », a déclaré la société canadienne de cybersécurité. noté.