A Proofpoint Emerging Threats frequentemente recebe dicas da comunidade que levam à investigação e detecção de novos malwares. Em 10 de agosto deste ano, Jérôme Segura, diretor sênior de inteligência de ameaças da Malwarebytes, compartilhou uma amostra de malware que estava sendo distribuída como parte de um pacote de instalação de software do Windows.
A amostra foi descoberta inicialmente em um site que fingia estar associado ao Bitwarden, através de endereço muito convincente e parecido com o verdadeiro bitwarden.com. Juntamente com um pacote de instalação padrão do Bitwarden, há um executável .NET malicioso que foi apelidado de “ZenRAT”.
No momento, não se sabe como o malware está sendo distribuído; no entanto, atividades históricas que se disfarçaram de falsos instaladores de software foram entregues por meio de SEO Poisoning, pacotes de adware ou por e-mail.
Mira específica
O site malicioso só exibe o download falso do Bitwarden se o usuário acessar por meio de um host Windows. Se um usuário que não seja do Windows tentar navegar para esse domínio, a página mudará para algo totalmente diferente.
Em vez disso, o site se disfarça como o site legítimo “opensource.com”, chegando ao ponto de clonar um artigo do Opensource.com de Scott Nesbitt sobre o gerenciador de senhas Bitwarden. Além disso, se os usuários do Windows clicarem nos links de download marcados para Linux ou MacOS na página Downloads, eles serão redirecionados para o site legítimo do Bitwarden, vault.bitwarden.com.
Clicar no botão Download ou no botão de download do Desktop installer for Windows resulta em uma tentativa de baixar o Bitwarden-Installer-version-2023-7-1.exe. Essa carga útil está hospedada no domínio crazygameis[.]com, que, no momento em que escrevo, parece não estar mais hospedando a carga útil.
O registrador de domínios para ambos os domínios parece ser o NiceNIC International Group, enquanto os próprios sites parecem estar hospedados no Cloudflare.
Detalhes do instalador
O instalador malicioso, Bitwarden-Installer-version-2023-7-1.exe, parece ter sido relatado pela primeira vez no VirusTotal em 28 de julho de 2023, com um nome diferente CertificateUpdate-version1-102-90.
Observando os detalhes do instalador, podemos ver que a assinatura digital não é válida, mas o mais interessante é que o instalador afirma ser o Speccy da Piriform – um aplicativo de software para reunir especificações do sistema.
Além disso, o instalador afirma que foi assinado por Tim Kosse, um desenvolvedor de software de código aberto mais conhecido pelo software Filezilla FTP/SFTP.
O arquivo do instalador copia a si mesmo para C:\Users\[nome de usuário]\Appdata\Local\Temp e cria um arquivo oculto, chamado .cmd, no mesmo diretório que inicia um loop de autoexclusão para si mesmo e para o arquivo do instalador.
O instalador coloca uma cópia de um executável, ApplicationRuntimeMonitor.exe, em C:\Users\[nome de usuário]\AppData\Roaming\Runtime Monitor\, e o executa.
Detalhes do ZenRAT
O ZenRAT (ApplicationRuntimeMonitor.exe), ao contrário do arquivo do instalador, apresenta alguns metadados interessantes que afirmam ser um aplicativo completamente diferente. As propriedades do arquivo afirmam que ele foi criado pela Monitoring Legacy World Ltd.
Após a execução, ele usa consultas WMI e outras ferramentas do sistema para coletar informações sobre o host:
– Nome da CPU
– Nome da GPU
– Versão do sistema operacional
– RAM instalada
– Endereço IP e gateway
– Antivírus instalado
– Aplicativos instalados
Observou-se que o ZenRAT enviava essas informações de volta ao seu servidor de comando e controle (C2) juntamente com os dados/credenciais roubados do navegador em um arquivo zip chamado Data.zip com os nomes de arquivo InstalledApps.txt e SysInfo.txt. O malware geralmente é entregue por meio de arquivos que se disfarçam de instaladores de aplicativos legítimos.
Os usuários finais devem estar atentos para fazer o download de software apenas diretamente da fonte confiável e sempre comparar os domínios que hospedam os downloads de software com os domínios pertencentes ao site oficial. As pessoas também devem ter cuidado com os anúncios nos resultados dos mecanismos de pesquisa, já que isso parece ser um dos principais impulsionadores de infecções dessa natureza, especialmente no último ano.