如果您最近安装了Bitwarden密码管理器,请确保您是从其官方网站下载的,而不是从欺诈性恶意来源下载的。
企业安全公司Proofpoint的网络安全研究人员发现了一种令人毛骨悚然的新恶意软件,它作为流行密码管理器Bitwarden的安装包分发,可以欺骗用户并窃取其设备中的敏感数据。
这个名为ZenRAT的伪造安装包是通过假冒的Bitwarden网站提供的,该网站看起来与原始网站一模一样,但并不合法。如果用户注意的话,很容易发现恶意软件操作者使用了拼写错误技术,因为该假冒网站的标题为bitwaridencom。
ZenRAT的主要目标是毫无戒心的Windows用户。如果访问者单击标记为其他平台(例如Linux或macOS)的可下载链接,他们将被重定向到下载页面上的原始Bitwarden网站(vault.bitwarden.com)。如果Windows用户点击它,他们的设备将被ZenRAT感染,并且恶意软件将与其C2服务器(185.186.7214)建立连接。
完成此操作后,恶意软件将收集所需的数据,包括系统详细信息和存储的凭据。ZenRAT可以窃取CPU和GPU名称、操作系统版本、RAM、IP地址和设备网关等信息。它还会提取有关已安装的防病毒解决方案和其他应用程序的信息。它还可以窃取浏览器数据和密码。ZenRAT将日志以明文形式传输到C2服务器。
它将网站访问者重定向到良性网站。然而,研究人员没有具体说明访问者如何被重定向到该网站。此前,恶意软件通过网络钓鱼、SEO中毒或恶意广告攻击在此类活动中传播。有效负载的标题为Bitwarden-installer-version-2023-7-1.exe,并通过crazygamescom下载。这个木马版本的合法Bitwarden安装程序包含一个名为(ApplicationRuntimeMonitor.exe)的.NET可执行文件。
根据Proofpoint的博客文章,当研究人员检查恶意安装程序包的元数据时,他们发现攻击者将其伪装成Priform的Speccy。它是一个免费的Windows实用程序,可显示硬件/软件相关信息。
此外,该可执行文件具有无效签名,该签名似乎是由FileZilla著名的德国计算机科学家Tim Kosse签署的。然而,这个签名也是假的。该模块化RAT还运行反沙箱和反虚拟机检查,以确定在设备上操作是否安全。检查还包括地理围栏,以确保它没有安装在任何俄语地区。
研究人员强烈建议用户在下载软件时要小心谨慎,并建议仅从官方来源获取应用程序。值得注意的是,密码管理器经常成为网络攻击和诈骗的目标,LastPass就是一个显着的例子。
作为更安全的替代方案,排名前三的浏览器(Google Chrome、Mozilla Firefox和Safari)提供免费的密码管理器功能。如果您不确定要使用哪个服务,这三个选项中的任何一个都会提供类似的好处,并且在某些情况下可能比其他选项更安全。
评论已关闭。