Ha surgido una nueva cepa de malware llamada ZenRAT que se distribuye a través de paquetes de instalación falsos del administrador de contraseñas Bitwarden.
«El malware está dirigido específicamente a usuarios de Windows y redirigirá a las personas que utilizan otros servidores a una página web benigna», dijo la firma de seguridad empresarial Proofpoint en un informe técnico. «El malware es un troyano modular de acceso remoto (RAT) con capacidades de robo de información».
ZenRAT está alojado en sitios web falsos que pretenden estar asociados con Bitwarden, aunque no está claro cómo se dirige el tráfico a los dominios. Este tipo de malware se ha propagado mediante ataques de phishing, publicidad maliciosa o envenenamiento de SEO en el pasado.
La carga útil (Bitwarden-Installer-version-2023-7-1.exe), descargada de Crazygameis[.]com, es una versión troyanizada del paquete de instalación estándar de Bitwarden que contiene un ejecutable .NET malicioso (ApplicationRuntimeMonitor.exe).
Un aspecto digno de mención de la campaña es que los usuarios que terminan visitando el sitio web engañoso desde sistemas que no son Windows son redirigidos a un artículo clonado de opensource.com publicado en marzo de 2018 sobre «Cómo administrar sus contraseñas con Bitwarden, una alternativa a LastPass».
Además, los usuarios de Windows que hacen clic en los enlaces de descarga marcados para Linux o macOS en la página de Descargas son redirigidos al sitio legítimo de Bitwarden, vault.bitwarden.com.
Un análisis de los metadatos del instalador revela intentos por parte del actor de amenazas de enmascarar el malware como Speccy de Piriform, una utilidad gratuita de Windows para mostrar información de hardware y software.
La firma digital utilizada para firmar el ejecutable no sólo no es válida, sino que también afirma estar firmada por Tim Kosse, un conocido informático alemán conocido por desarrollar el software FTP gratuito multiplataforma FileZilla.
ZenRAT, una vez iniciado, recopila detalles sobre el host, incluido el nombre de la CPU, el nombre de la GPU, la versión del sistema operativo, las credenciales del navegador y las aplicaciones instaladas y el software de seguridad, en un servidor de comando y control (C2) (185.186.72[.] 14) operado por los actores de amenazas.
«El cliente inicia la comunicación con el C2», dijo Proofpoint. «Independientemente del comando y de los datos adicionales transmitidos, el primer paquete siempre tiene 73 bytes».
ZenRAT también está configurado para transmitir sus registros al servidor en texto plano, que captura una serie de comprobaciones del sistema realizadas por el malware y el estado de ejecución de cada módulo, indicando su uso como un «implante modular extensible».
Para mitigar dichas amenazas, se recomienda que los usuarios descarguen software sólo de fuentes confiables y garanticen la autenticidad de los sitios web.
La divulgación se produce cuando se ha observado que el ladrón de información conocido como Lumma Stealer compromete las industrias manufacturera, minorista y comercial desde principios de agosto de 2023.
«El ladrón de información se entregó a través de descargas ocultas disfrazadas de instaladores falsos, como los instaladores de los navegadores Chrome y Edge, y algunos de ellos se distribuyeron a través de PrivateLoader «, dijo eSentire a principios de este mes.
En una campaña relacionada, se descubrió que sitios web fraudulentos que se hacían pasar por Google Business Profile y Google Sheets engañaban a los usuarios para que instalaran un malware ladrón denominado Stealc con el pretexto de una actualización de seguridad.
«Las descargas no autorizadas siguen siendo un método frecuente para difundir malware, como ladrones y cargadores de información», señaló la empresa canadiense de ciberseguridad.
Fuente y redacción: thehackernews.com
