I ricercatori di Proofpoint hanno identificato un nuovo malware, denominato ZenRAT, che viene distribuito tramite installer fasulli di Bitwarden, noto password manager. Ignoti cybercriminali tentano di ingannare gli utenti Windows con un sito simile a quello legittimo. Il malware può raccogliere diversi dati dal computer, tra cui le credenziali di login.
ZenRAT nascosto nella versione fake di Bitwarden
I ricercatori di Proofpoint non hanno scoperto come le ignare vittime finiscono sul sito fasullo. Questo tipo di minaccia sfrutta solitamente il phishing o il SEO poisoning. Il design del sito è simile a quello originale, ma l’URL è bitwariden.com
, invece di bitwarden.com
. La pagina di download viene mostrata solo agli utenti Windows.
Cliccando sul pulsante viene scaricato il file Bitwarden-Installer-version-2023-7-1.exe
ospitato su un altro sito. Quando eseguito, l’installer copia se stesso nella directory C:\Users\[username]\Appdata\Local\Temp
e crea un file con estensione .cmd
. Quest’ultimo viene automaticamente eseguito e cancella se stesso e l’installer.
Un altro file, denominato ApplicationRuntimeMonitor.exe
, viene copiato nella directory C:\Users\[username]\AppData\Roaming\Runtime Monitor\
ed eseguito. Si tratta di ZenRAT, un Remote Access Trojan con funzionalità di info-stealer.
Usando query WMI e altri tool di sistema, il malware raccoglie diverse informazioni, tra cui versione di Windows, RAM installata, tipo di CPU e GPU, applicazioni installate, indirizzi IP e gateway, oltre alle password salvate nel browser. I dati vengono quindi aggiunti ad un archivio ZIP e inviati al server C2 (command and control).
Il malware verifica anche se sul computer è in esecuzione una macchina virtuale o una sandbox per ostacolare l’analisi da parte dei ricercatori. ZenRAT è modulare, quindi potrebbero essere aggiunte altre funzionalità nelle future versioni.