pixabay rat 4075128 640

Novo trojan ZenRAT se disfarça de gerenciador de senhas Bitwarden

Um relatório da Proofpoint identifica o novo trojan como não documentado e possuindo recursos de roubo de informações
Da Redação
01/10/2023

Pesquisadores se depararam com um novo trojan chamado ZenRAT que está sendo distribuído como um instalador para o popular aplicativo de gerenciamento de senhas Bitwarden, além de utilizar outros truques para enganar os usuários. O trojan tem recursos de roubo de informações e não foi documentado antes.

A descoberta foi feita por pesquisadores da empresa de segurança Proofpoint, que disseram em um relatório publicado no blog da empresa que o malware geralmente é entregue por meio de arquivos que se disfarçam de instaladores legítimos de aplicativos. “Os usuários finais devem estar atentos apenas ao download de software diretamente da fonte confiável e sempre verificar os domínios que hospedam downloads de software em relação aos domínios pertencentes ao site oficial.”

O ZenRAT é distribuído a partir de páginas web que imitam o site bitwarden.com, a casa do gestor de palavras-passe de código aberto Bitwarden. A página só é mostrada para visitantes com computadores Windows. Já aqueles com Linux são direcionados para um artigo sobre Bitwarden clonado de um site de mídia.

Embora não esteja claro como os usuários são direcionados para a página falsa do Bitwarden, os pesquisadores apontam que instaladores falsos foram distribuídos no passado por meio de envenenamento por SEO, uma técnica que envolve sequestrar resultados de pesquisa para vários termos, inflando artificialmente o page rank de sites hackeados para aparecer mais alto em resultados. Outras técnicas envolvem e-mail e spam de mídia social.

Assim, quando o instalador é executado, ele solta um executável chamado ApplicationRuntimeMonitor.exe em C:\Users\[username]\AppData\Roaming\Runtime Monitor\ e o executa. Os metadados deste arquivo novamente afirmam ser outra coisa, um aplicativo criado pela Monitoring Legacy World Ltd.

O arquivo executável oferecido aos usuários do Windows para download é chamado Bitwarden-Installer-version-2023-7-1.exe e foi carregado no banco de dados VirusTotal antes com o nome CertificateUpdate-version1-102-90, sugerindo que esta não é a primeira vez que os invasores distribuem o ZenRAT como um aplicativo falso.

Veja isso
Pesquisadores alertam que AWS SSM pode ser usado como RAT
Trojan para Android intercepta chamadas para suporte ao cliente

Após a execução, o ZenRAT recolhe informações do sistema e envia-as para o servidor de comando e controle (C&C). Isso inclui os nomes de CPU e GPU, a versão do sistema operacional, a quantidade de RAM, endereço IP e endereço de gateway, o programa antivírus instalado e uma lista de aplicativos instalados. Além disso, ele também captura credenciais salvas dentro de navegadores e as envia para o servidor de comando e controle (C&C) também.

A comunicação entre o RAT e o servidor C&C inclui comandos que envolvem a execução e atualização de módulos. Estes são componentes que permitem várias funcionalidades que os atacantes podem entregar às vítimas, se assim o desejarem, depois de analisar as informações inicialmente capturadas.

Outro comando  pede ao trojan para enviar de volta os logs sobre as tarefas que ele executou e concluiu de volta para o servidor. Isso inclui várias verificações realizadas no sistema, incluindo o resultado de tentativas de detectar se ele foi executado em uma máquina virtual que poderia indicar um scanner de malware automatizado. 

Para acessar relatório sobre no ZenRAT, publicado no blog da empresa, clique aqui

Compartilhar:

Últimas Notícias