0
0
Uma nova variante de malware para roubo de informações está escondida por trás de pacotes de instalação falsos do gerenciador de senhas de código aberto Bitwarden, em um esquema elaborado visando exclusivamente usuários do Windows.
O ataque usa um site falso para distribuir os pacotes.
O pesquisador Jérôme Segura, diretor sênior de inteligência de ameaças da Malwarebytes, compartilhou uma amostra do malware – apelidado de ZenRAT – com pesquisadores da Proofpoint em agosto, revelaram eles em uma postagem de blog publicada esta semana.
Segura descobriu o malware em um site, bitwariden[.]com, supostamente associado ao Bitwarden e “um sósia muito convincente do verdadeiro bitwarden.com”, escreveram Tony Robinson da Proofpoint e a equipe de pesquisa de ameaças da Proofpoint no post. ZenRAT veio empacotado como um executável .NET com um pacote de instalação padrão do Bitwarden sendo distribuído pelo site.
O malware inclui vários módulos que executam funções típicas do RAT, como coletar impressões digitais do sistema e dados de aplicativos instalados, além de roubar senhas e outras informações de navegadores para enviar de volta aos invasores por meio de um servidor de comando e controle (C2).
Os atores da ameaça por trás da campanha fizeram um grande esforço para garantir que os pacotes maliciosos fossem distribuídos apenas para pessoas que usariam o Bitwarden em uma plataforma Windows, porque o site de representação apresenta o download falso do Bitwarden aos usuários apenas se eles o acessarem através de um host Windows.
Os usuários não-Windows que tentam navegar para o domínio são redirecionados para um artigo clonado do opensource.com sobre o gerenciador de senhas, enquanto os usuários do Windows que clicam em links de download marcados para Linux ou MacOS são redirecionados para o site legítimo da Bitwarden, vault.bitwarden.com, observaram os pesquisadores.
Ainda não se sabe como os usuários chegam ao site falso do Bitwarden, embora “atividades históricas que se disfarçaram como falsos instaladores de software tenham sido entregues via SEO Poisoning, pacotes de adware ou via e-mail”, escreveram os pesquisadores.
Como funciona o ZenRAT
Se um usuário do Windows clicar para instalar o pacote malicioso, isso resultará em uma tentativa de baixar Bitwarden-Installer-version-2023-7-1.exe, que parece ter sido relatado pela primeira vez no VirusTotal em 28 de julho com um nome diferente, CertificateUpdate -versão1-102-90. A carga observada pelos pesquisadores estava hospedada no domínio crazygameis.com, que no momento em que a postagem do blog foi escrita havia parado de hospedar o pacote malicioso, observaram os pesquisadores.
Depois que o sistema é infectado, o arquivo do instalador se copia para C:\Users\[nome de usuário]\Appdata\Local\Temp e cria um arquivo oculto, .cmd, no mesmo diretório. Este arquivo inicia um loop de autoexclusão para si mesmo e para o arquivo do instalador.
O instalador coloca uma cópia de um executável, ApplicationRuntimeMonitor.exe, em C:\Users\[nome de usuário]\AppData\Roaming\Runtime Monitor\, e o executa, iniciando efetivamente o ZenRAT, que “apresenta alguns metadados interessantes que afirmam ser completamente aplicação diferente”, observaram os pesquisadores. Na verdade, as propriedades do arquivo do malware afirmam que ele foi criado pelo Monitoring Legacy World Ltd, provavelmente como um mecanismo de evasão.
A primeira tarefa do malware, uma vez iniciado, é estabelecer comunicação com C2 e usar consultas WMI e outras ferramentas do sistema para coletar informações sobre o host. Essas informações incluem: nome da CPU, nome da GPU, versão do sistema operacional, RAM instalada, endereço IP e gateway, antivírus instalado e aplicativos instalados.
Os pesquisadores observaram o malware enviando essas informações de volta ao seu servidor C2 junto com dados/credenciais de navegador roubados em um arquivo zip chamado Data.zip que usa os nomes de arquivo InstalledApps.txt e SysInfo.txt.
Visando gerenciadores de senhas
O cenário não é a primeira vez que os agentes de ameaças têm como alvo o Bitwarden ou outra tecnologia de gerenciamento de senhas para atividades maliciosas, como forma de atingir as credenciais hospedadas em seus cofres de senhas.
Uma campanha anterior exibiu anúncios pagos a sites de phishing que roubam credenciais em resposta a pesquisas pelo Bitwarden, que tem mais de 15 milhões de usuários, e por uma tecnologia semelhante, 1Password. Os invasores também já violaram o cofre de senhas do cliente do LastPass , um dos maiores players do setor.
Como o malware geralmente é entregue por meio de arquivos que se disfarçam como instaladores de aplicativos legítimos, os pesquisadores recomendaram que os usuários finais tenham sempre o cuidado de baixar software diretamente de fontes confiáveis. As pessoas também devem verificar os domínios que hospedam downloads de software em relação aos domínios pertencentes ao site oficial para garantir que o pacote de instalação seja legítimo e não esteja hospedado por um site malicioso.
Outra forma de evitar ser comprometido por instaladores maliciosos é ter cuidado com os anúncios nos resultados dos motores de busca, observaram os investigadores, “já que isso parece ser um dos principais impulsionadores de infecções desta natureza, especialmente no último ano”.
FONTE: DARKREADING