Fake Bitwarden sites push new ZenRAT password-stealing malware


gnews




Security


Οι ψεύτικοι ιστότοποι Bitwarden προωθούν νέο κακόβουλο λογισμικό κλοπής κωδικού πρόσβασης ZenRAT



By

Marizas Dimitris

Οι ψεύτικοι ιστότοποι Bitwarden πιέζουν τους εγκαταστάτες υποτίθεται για τη διαχείριση κωδικών πρόσβασης ανοιχτού κώδικα

φέρουν ένα νέο κακόβουλο λογισμικό κλοπής κωδικού πρόσβασης που οι

ασφαλείας αποκαλούν ZenRAT.


κακόβουλο λογισμικό διανέμεται στους χρήστες των Windows μέσω ιστότοπων που μιμούνται τη νόμιμη τοποθεσία Bitwarden και βασίζονται σε typosquatting για να ξεγελάσουν τα πιθανά θύματα.

Επικεντρώθηκε στους χρήστες των Windows

Ο σκοπός του ZenRAT είναι να συλλέγει δεδομένα και διαπιστευτήρια του προγράμματος περιήγησης μαζί με λεπτομέρειες σχετικά με τον μολυσμένο κεντρικό υπολογιστή, μια συμπεριφορά που συνάδει με έναν κλέφτη πληροφοριών.

Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν τις λεπτομέρειες για να δημιουργήσουν ένα δακτυλικό αποτύπωμα του παραβιασμένου συστήματος που μπορεί να χρησιμοποιηθεί για πρόσβαση σε έναν λογαριασμό σαν να είχε συνδεθεί ο νόμιμος χρήστης.

Ερευνητές ασφαλείας στην εταιρεία κυβερνοασφάλειας Proofpoint ανακάλυψαν το ZenRAT αφού έλαβαν τον Αύγουστο ένα δείγμα του κακόβουλου λογισμικού από τον Jérôme Segura, Ανώτερο Διευθυντή Threat Intelligence της Malwarebytes.

Το σημείο διανομής ήταν “ένα πολύ πειστικό όμοιο με το πραγματικό bitwarden.com” με ένα όνομα τομέα που επιλέχθηκε ειδικά για να εξαπατήσει τους επισκέπτες ώστε να πιστέψουν ότι είχαν πρόσβαση στον επίσημο πόρο –

bitwariden[.]com

.

Ψεύτικος ιστότοπος Bitwarden

Ψεύτικος ιστότοπος Bitwarden που παραδίδει το ZenRAT



πηγή: Proofpoint

Μέσα στο πλαστό πακέτο εγκατάστασης Bitwarden, οι ερευνητές της Proofpoint βρήκαν ένα κακόβουλο εκτελέσιμο αρχείο .NET που είναι ένας trojan απομακρυσμένης πρόσβασης (RAT) με δυνατότητες κλοπής πληροφοριών που τώρα παρακολουθούν ως ZenRAT.

Ο κακόβουλος ιστότοπος παρέχει το ψεύτικο πακέτο Bitwarden μόνο σε χρήστες Windows, διαφορετικά, ανακατευθύνει σε μια κλωνοποιημένη σελίδα ενός


opensource.com

άρθρο σχετικά με τον διαχειριστή κωδικών πρόσβασης

.

Όταν προσπαθείτε να κάνετε λήψη της έκδοσης Bitwarden για Linux ή Mac, ο χρήστης ανακατευθύνεται στην επίσημη σελίδα λήψης του λογισμικού,

Αποδεικτικές σημειώσεις

.

Το κακόβουλο πρόγραμμα εγκατάστασης Bitwarden για Windows παραδίδεται από

crazygameis[.]com

μια άλλη ψεύτικη διεύθυνση URL για τη νόμιμη πλατφόρμα παιχνιδιών CrazyGames που βασίζεται σε πρόγραμμα περιήγησης.

Το κακόβουλο πρόγραμμα εγκατάστασης Bitwarden λήφθηκε από την απαίτηση ωφέλιμου φορτίου

Κακόβουλη παράδοση ωφέλιμου φορτίου Bitwarden



πηγή: Proofpoint

Οι ερευνητές δεν γνωρίζουν πώς τα πιθανά θύματα προσγειώνονται στον ψεύτικο ιστότοπο Bitwarden, αλλά οι καμπάνιες ηλεκτρονικού “ψαρέματος” μέσω διαφημίσεων Google έχουν χρησιμοποιηθεί στο παρελθόν για να στοχεύσουν συγκεκριμένα τους χρήστες του Bitwarden.

Κλέβει δεδομένα, αποφεύγει την ανάλυση

Μόλις εκτελεστεί, το ZenRAT χρησιμοποιεί ερωτήματα WMI και άλλα εργαλεία συστήματος για τη συλλογή δεδομένων σχετικά με τον κεντρικό υπολογιστή, τα οποία περιλαμβάνουν:

  • Όνομα CPU
  • Όνομα GPU
  • Έκδοση OS
  • Εγκατεστημένη RAM
  • Διεύθυνση IP και πύλη
  • Εγκατεστημένο Antivirus
  • Εγκατεστημένες Εφαρμογές

Οι παραπάνω λεπτομέρειες παραδίδονται στον διακομιστή εντολών και ελέγχου (C2) σε ένα αρχείο ZIP που περιλαμβάνει επίσης δεδομένα και διαπιστευτήρια που συλλέγονται από το πρόγραμμα περιήγησης Ιστού.

Ωστόσο, πριν επικοινωνήσει με το C2, το ZenRAT βεβαιώνεται ότι ο οικοδεσπότης δεν βρίσκεται σε περιορισμένη περιοχή (Λευκορωσία, Κιργιστάν, Καζακστάν, Μολδαβία,

και Ουκρανία).

Το κακόβουλο λογισμικό ελέγχει επίσης εάν εκτελείται σε εικονική μηχανή ή σε sandbox, ένδειξη ότι οι ερευνητές το αναλύουν.

Ωστόσο, οι ερευνητές ανακάλυψαν επίσης μερικές περίεργες πληροφορίες στα μεταδεδομένα του προγράμματος εγκατάστασης, όπως ο ισχυρισμός ότι είναι η εφαρμογή πληροφοριών υλικού Speccy, από την Piriform.

Μια άλλη ιδιαιτερότητα είναι τα δεδομένα για τον υπογράφοντα του εγκαταστάτη. Αν και το ψηφιακό πιστοποιητικό δεν είναι έγκυρο, το πρόγραμμα εγκατάστασης του ZenRAT αναφέρει τον Tim Kosse, τον προγραμματιστή του λογισμικού ανοιχτού κώδικα FileZilla FTP, ως τον υπογράφοντα.

Παρά το γεγονός ότι έχει συγκεκριμένες λειτουργίες για έναν κλέφτη πληροφοριών, η Proofpoint έχει βρει στοιχεία που υποδηλώνουν ότι το κακόβουλο λογισμικό έχει σχεδιαστεί για να είναι αρθρωτό και οι δυνατότητές του μπορούν να επεκταθούν. Ωστόσο, δεν έχουν παρατηρηθεί άλλες ενότητες στη φύση.

Ο διαχειριστής κωδικών πρόσβασης Bitwarden έχει αυξηθεί σε δημοτικότητα τον τελευταίο καιρό καθώς θεωρείται καλύτερη εναλλακτική λύση σε σχέση με άλλα

στην αγορά. Με μια αυξανόμενη βάση χρηστών, το λογισμικό και οι χρήστες του γίνονται στόχος καθώς οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται



bleepingcomputer.com


Follow TechWar.gr on Google News






Bitwarden


cpu


google


gpu


mac


windows


ZenRAT


Διαχειριστής κωδικών πρόσβασης


Κλέφτης πληροφοριών


Τυπογραφικό Κατάληψη






Marizas Dimitris



116584 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.


More Stories


Το Facebook και το Instagram θα μπλοκάρουν τα DM σε εφήβους,…



Απίστευτο! Οι οπτικές ψευδαισθήσεις λειτουργούν στις γάτες…



Τι συμβαίνει με την «τοξικότητα» γύρω από το Cities:…