ZenRAT поширюється через підроблене ПЗ для керування паролями.
З’явився новий різновид шкідливого ПЗ під назвою ZenRAT, що поширюється через фіктивні інсталяційні пакети менеджера паролів Bitwarden. ZenRAT розміщено на підроблених вебсайтах, нібито пов’язаних з Bitwarden, хоча невідомо, як трафік спрямовується на домени. Раніше зловмисне ПЗ такого типу поширювалося за допомогою фішингу, шкідливої реклами або атак із SEO-отруєнням.
Зловмисне програмне забезпечення спеціально спрямоване на користувачів Windows і перенаправлятиме тих, хто використовує інші хости, на безпечну вебсторінку. Це зловмисне ПЗ є модульним трояном віддаленого доступу (RAT) з можливостями крадіжки інформації.
Технічний звіт фірми корпоративної безпеки Proofpoint
Корисне навантаження тут є троянською версією стандартного інсталяційного пакета Bitwarden, який містить шкідливий виконуваний файл .NET. Прикметний аспект цієї кампанії у тім, що відвідувачів оманливого сайту з інших операційних систем переправляють на клоновану статтю про керування паролями за допомогою Bitwarden, альтернативи LastPass. А користувачі Windows, натискаючи посилання для завантаження з позначкою «для Linux» або «для macOS», спрямовуються на легальний сайт Bitwarden.
Аналіз метаданих інсталятора виявив спроби зловмисника замаскувати ZenRAT під Speccy від Piriform, безплатну утиліту Windows. Після запуску ZenRAT збирає деталі про хост, включно з ім’ям процесора, ім’ям графічного процесора, версією ОС, обліковими даними браузера та встановленими програмами і безпековим ПЗ, на сервер керування (C2) під контролем зловмисника. ZenRAT також налаштований на передачу своїх журналів на сервер у форматі відкритого тексту, який фіксує серію системних перевірок, здійснених шкідливим ПЗ, і статус виконання кожного модуля, що вказує на його використання як модульного розширюваного імплантату.
Для пом’якшення таких загроз користувачам Windows (і, звісно ж, інших операційних систем) рекомендується завантажувати ПЗ лише з перевірених джерел, попередньо переконавшись в автентичності вебсайтів, де воно розміщене.
