Neue ZenRAT-Malware zielt über gefälschte Passwort-Manager-Software auf Windows-Nutzer
In der Cybersecurity-Landschaft ist kürzlich ein neuartiger Schädling namens ZenRAT aufgetaucht, der sich im freien Feld verbreitet. Besonders besorgniserregend ist dabei die Methode seiner Verbreitung, die auf gefälschten Installationspaketen des weit verbreiteten Passwortmanagers Bitwarden basiert.
„Die Malware zielt speziell auf Windows-Benutzer ab und leitet Personen, die andere Hosts verwenden, auf eine harmlose Webseite um“, so das Sicherheitsunternehmen Proofpoint in einem Bericht. „Bei der Malware handelt es sich um einen modularen Remote-Access-Trojaner (RAT) mit Fähigkeiten zum Informationsdiebstahl.“
ZenRAT wird auf gefälschten Webseiten gehostet, die vorgeben, eine Verbindung zu Bitwarden zu haben. Dabei ist jedoch unklar, wie der Datenverkehr zu diesen Domänen geleitet wird. In der Vergangenheit wurden ähnliche Malware-Typen über Phishing-, Malvertising- oder SEO-Poisoning-Angriffe verbreitet.
Die schädliche Datei (Bitwarden-Installer-version-2023-7-1.exe) wurde von der Webseite crazygameis[.]com heruntergeladen. Dabei handelt es sich um eine trojanisierte Version des regulären Bitwarden-Installationspakets, die eine bösartige ausführbare .NET-Datei (ApplicationRuntimeMonitor.exe) enthält.
Ein interessanter Aspekt dieser Angriffskampagne ist, dass Benutzer, welche die betrügerische Website von Nicht-Windows-Systemen aus besuchen, auf einen geklonten Artikel von opensource.com umgeleitet werden. Dieser Artikel wurde im März 2018 unter dem Titel „How to manage your passwords with Bitwarden, a LastPass alternative“ veröffentlicht. Außerdem werden Windows-Nutzer, die auf der Download-Seite auf Download-Links klicken, die für Linux oder macOS markiert sind, auf die legitime Bitwarden-Website vault.bitwarden.com umgeleitet.
Eine Analyse der Metadaten des Installationsprogramms zeigt, dass die Cyberkriminellen versucht haben, die Malware als Speccy von Piriform zu tarnen, ein kostenloses Windows-Dienstprogramm zur Anzeige von Hardware- und Software-Informationen. Die digitale Signatur, mit der die ausführbare Datei signiert wurde, ist nicht nur ungültig, sondern behauptet auch fälschlicherweise, von Tim Kosse signiert zu sein, einem bekannten deutschen Informatiker, der für die Entwicklung der kostenlosen plattformübergreifenden FTP-Software FileZilla bekannt ist.
Sobald ZenRAT gestartet ist, sammelt es Details über den Host, einschließlich des CPU-Namens, des GPU-Namens, der Betriebssystemversion, der Browser-Anmeldeinformationen und der installierten Anwendungen und Sicherheitssoftware, und sendet sie an einen von den Bedrohungsakteuren betriebenen Command-and-Control (C2)-Server (185.186.72[.]14). „Der Client initiiert die Kommunikation mit dem C2-Server“, so Proofpoint. „Unabhängig vom Befehl und den zusätzlich übertragenen Daten besteht das erste Paket immer aus 73 Bytes.“
ZenRAT ist außerdem so konfiguriert, dass es seine Protokolle im Klartext an den Server sendet. Darin werden eine Reihe von Systemprüfungen, die von der Malware durchgeführt werden, sowie der Status der Ausführung jedes Moduls festgehalten, was darauf hindeutet, dass es sich um ein „modulares, erweiterbares Implantat“ handelt. Um solche Bedrohungen abzuschwächen, wird empfohlen, Software nur von vertrauenswürdigen Quellen herunterzuladen und die Authentizität der Websites zu überprüfen.
Die Enthüllung erfolgt im Nachgang des seit Anfang August 2023 beobachteten als Lumma Stealer bekannten Informationsdiebstahls in der Industrie, im Einzelhandel und in Unternehmen. „Dieser Infostealer wurde über Drive-by-Downloads verbreitet, die als gefälschte Installationsprogramme wie Chrome- und Edge-Browser-Installer getarnt waren, und einige von ihnen wurden über PrivateLoader verteilt“, wie eSentire berichtet. In einer ähnlichen Kampagne wurden betrügerische Websites entdeckt, die sich als Google Business Profile und Google Sheets ausgaben, um Nutzer unter dem Vorwand eines Sicherheitsupdates dazu zu bringen, eine Stealer-Malware namens Stealc zu installieren.