Novo malware ZenRAT mira exclusivamente usuários Windows

A Proofpoint identificou um novo malware chamado ZenRAT sendo distribuído por meio de pacotes de instalação falsos do gerenciador de senhas Bitwarden. O malware está redirecionando as pessoas que usam outros hosts para uma página da Web benigna. No momento, não se sabe como o malware está sendo distribuído. O malware é um trojan modular de acesso remoto (RAT) com recursos de roubo de informações.

Compartilhar:

A Proofpoint Emerging Threats frequentemente recebe dicas da comunidade que levam à investigação e detecção de novos malwares. Em 10 de agosto deste ano, Jérôme Segura, diretor sênior de inteligência de ameaças da Malwarebytes, compartilhou uma amostra de malware que estava sendo distribuída como parte de um pacote de instalação de software do Windows.



A amostra foi descoberta inicialmente em um site que fingia estar associado ao Bitwarden, através de endereço muito convincente e parecido com o verdadeiro bitwarden.com. Juntamente com um pacote de instalação padrão do Bitwarden, há um executável .NET malicioso que foi apelidado de “ZenRAT”.

No momento, não se sabe como o malware está sendo distribuído; no entanto, atividades históricas que se disfarçaram de falsos instaladores de software foram entregues por meio de SEO Poisoning, pacotes de adware ou por e-mail.

Mira específica

O site malicioso só exibe o download falso do Bitwarden se o usuário acessar por meio de um host Windows. Se um usuário que não seja do Windows tentar navegar para esse domínio, a página mudará para algo totalmente diferente.

Em vez disso, o site se disfarça como o site legítimo “opensource.com”, chegando ao ponto de clonar um artigo do Opensource.com de Scott Nesbitt sobre o gerenciador de senhas Bitwarden. Além disso, se os usuários do Windows clicarem nos links de download marcados para Linux ou MacOS na página Downloads, eles serão redirecionados para o site legítimo do Bitwarden, vault.bitwarden.com.



Clicar no botão Download ou no botão de download do Desktop installer for Windows resulta em uma tentativa de baixar o Bitwarden-Installer-version-2023-7-1.exe. Essa carga útil está hospedada no domínio crazygameis[.]com, que, no momento em que escrevo, parece não estar mais hospedando a carga útil.

O registrador de domínios para ambos os domínios parece ser o NiceNIC International Group, enquanto os próprios sites parecem estar hospedados no Cloudflare.

Detalhes do instalador

O instalador malicioso, Bitwarden-Installer-version-2023-7-1.exe, parece ter sido relatado pela primeira vez no VirusTotal em 28 de julho de 2023, com um nome diferente CertificateUpdate-version1-102-90.

Observando os detalhes do instalador, podemos ver que a assinatura digital não é válida, mas o mais interessante é que o instalador afirma ser o Speccy da Piriform – um aplicativo de software para reunir especificações do sistema. 

Além disso, o instalador afirma que foi assinado por Tim Kosse, um desenvolvedor de software de código aberto mais conhecido pelo software Filezilla FTP/SFTP.

O arquivo do instalador copia a si mesmo para C:\Users\[nome de usuário]\Appdata\Local\Temp e cria um arquivo oculto, chamado .cmd, no mesmo diretório que inicia um loop de autoexclusão para si mesmo e para o arquivo do instalador. 

O instalador coloca uma cópia de um executável, ApplicationRuntimeMonitor.exe, em C:\Users\[nome de usuário]\AppData\Roaming\Runtime Monitor\, e o executa.

Detalhes do ZenRAT

O ZenRAT (ApplicationRuntimeMonitor.exe), ao contrário do arquivo do instalador, apresenta alguns metadados interessantes que afirmam ser um aplicativo completamente diferente. As propriedades do arquivo afirmam que ele foi criado pela Monitoring Legacy World Ltd.

Após a execução, ele usa consultas WMI e outras ferramentas do sistema para coletar informações sobre o host:

– Nome da CPU

– Nome da GPU

– Versão do sistema operacional

– RAM instalada

– Endereço IP e gateway

– Antivírus instalado

– Aplicativos instalados

Observou-se que o ZenRAT enviava essas informações de volta ao seu servidor de comando e controle (C2) juntamente com os dados/credenciais roubados do navegador em um arquivo zip chamado Data.zip com os nomes de arquivo InstalledApps.txt e SysInfo.txt. O malware geralmente é entregue por meio de arquivos que se disfarçam de instaladores de aplicativos legítimos.



Os usuários finais devem estar atentos para fazer o download de software apenas diretamente da fonte confiável e sempre comparar os domínios que hospedam os downloads de software com os domínios pertencentes ao site oficial. As pessoas também devem ter cuidado com os anúncios nos resultados dos mecanismos de pesquisa, já que isso parece ser um dos principais impulsionadores de infecções dessa natureza, especialmente no último ano.


Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...