Pacotes de instalação falsos do Bitwarden entregaram RAT para usuários do Windows

Views: 221
0 0
Read Time:2 Minute, 40 Second

Os usuários do Windows que desejam instalar o gerenciador de senhas Bitwarden podem ter instalado inadvertidamente um trojan de acesso remoto (RAT).

O malware ZenRAT

Um site malicioso que falsifica o site legítimo do Bitwarden (localizado em bitwariden[.]com ) tem oferecido pacotes de instalação falsos contendo o malware ZenRAT.

Windows BitWarden RAT
O site falso da Bitwarden. (Fonte: Ponto de prova)

O site falsificado e o instalador do Bitwarden com armadilha foram oferecidos para download apenas para usuários do Windows; Os usuários de Mac e Linux viram uma versão diferente da página de destino.

“O site, em vez disso, se disfarça como o site legítimo opensource.com , chegando ao ponto de clonar um artigo de opensource.com de Scott Nesbitt, sobre o gerenciador de senhas Bitwarden. Além disso, se os usuários do Windows clicarem nos links de download marcados para Linux ou MacOS na página de downloads, eles serão redirecionados para o site legítimo da Bitwarden, vault.bitwarden.com ”, compartilharam os pesquisadores da Proofpoint.

Se o usuário clicar no botão de download do Windows, o instalador falso será baixado em seu dispositivo.

“O malware é um trojan modular de acesso remoto (RAT) com capacidade de roubo de informações. Ele possui uma série de verificações anti-VM e anti-sandbox que executa no host para determinar se é seguro operar, incluindo uma verificação de geofencing para garantir que não será instalado em várias áreas de língua russa”, Selena Larson , analista sênior de inteligência de ameaças da Proofpoint, disse ao Help Net Security.

“Ele exibe capacidade modular: módulos que possuem funcionalidades específicas podem ser baixados sob comando após a infecção. O único módulo que a Proofpoint observou até agora é um módulo de roubo de informações do navegador. Os módulos que observamos exigiam argumentos específicos para serem executados no host infectado.”

Larson também nos disse que observou o malware criptografando e enviando dados e credenciais do navegador do módulo em execução no sistema infectado para o servidor C2, juntamente com informações do sistema.

A única coisa que eles não sabem é como o malware está sendo distribuído, ou seja, como as vítimas chegam à página falsificada. No passado, instaladores de software falsos eram entregues por meio de envenenamento por SEO, pacotes de adware ou por e-mail.

Instaladores de software falsos, muitas vezes disfarçados de aplicativos legítimos

Falsos instaladores de software que fingem ser aplicativos legítimos não são novidade. Os usuários geralmente procuram aplicativos para desktop ou dispositivos móveis para baixar, muitas vezes na esperança de encontrar versões gratuitas de aplicativos ou serviços pagos populares.

Sabendo disso, os cibercriminosos muitas vezes aproveitam a malvertising por meio do Google Ads para levá-los a instaladores falsos.

“Os usuários finais devem estar atentos para baixar apenas software diretamente de fontes confiáveis ​​e sempre verificar os domínios que hospedam downloads de software em relação aos domínios pertencentes ao site oficial. As pessoas também devem ter cuidado com os anúncios nos resultados dos motores de busca, uma vez que isso parece ser um dos principais impulsionadores de infecções desta natureza, especialmente no último ano”, recomendam os investigadores da Proofpoint .

FONTE: HELP NET SECURITY

POSTS RELACIONADOS