Bitwarden şifre yöneticisini yüklemek isteyen Windows kullanıcıları yanlışlıkla bir uzaktan erişim truva atı (RAT) yüklemiş olabilir.
ZenRAT kötü amaçlı yazılımı
Bitwarden’in meşru web sitesini taklit eden kötü amaçlı bir web sitesi (şu adreste bulunur: bitwariden[.]iletişim), ZenRAT kötü amaçlı yazılımını içeren sahte kurulum paketleri sunuyor.
Sahte Bitwarden web sitesi. (Kaynak: Kanıt noktası)
Sahte web sitesi ve bubi tuzaklı Bitwarden yükleyicisi yalnızca Windows kullanıcılarına indirilmeye sunuldu; Mac ve Linux kullanıcılarına açılış sayfasının farklı bir sürümü gösterildi.
“Web sitesi bunun yerine meşru web sitesi gibi görünüyor opensource.combir makaleyi kopyalayacak kadar ileri gidiyor opensource.com Scott Nesbitt tarafından, Bitwarden şifre yöneticisi hakkında. Ayrıca, Windows kullanıcıları İndirilenler sayfasında Linux veya MacOS için işaretlenmiş indirme bağlantılarına tıklarsa bunun yerine meşru Bitwarden sitesine yönlendirilirler. kasa.bitwarden.com“Proofpoint araştırmacıları paylaştı.
Kullanıcı Windows indirme düğmesini tıklarsa sahte yükleyici cihazına indirilir.
“Kötü amaçlı yazılım, bilgi çalma yetenekleri olan modüler bir uzaktan erişim truva atıdır (RAT). Çalıştırmanın güvenli olup olmadığını belirlemek için ana bilgisayarda gerçekleştirdiği bir dizi sanal makine önleme ve korumalı alan önleme denetimine sahiptir; buna Rusça konuşulan çeşitli bölgelere kurulmayacağından emin olmak için coğrafi sınırlama denetimi de dahildir,” Selena Larson Proofpoint’in kıdemli tehdit istihbaratı analisti Help Net Security’ye söyledi.
“Modüler yetenek sergiliyor: Belirli işlevlere sahip modüller, enfeksiyon sonrası komutla indirilebilir. Proofpoint’in şu ana kadar doğada gözlemlediği tek modül, tarayıcı bilgileri çalma modülüdür. Gözlemlediğimiz modüllerin virüslü ana makinede çalışabilmesi için belirli argümanlar gerekiyordu.”
Larson ayrıca kötü amaçlı yazılımın, sistem bilgilerinin yanı sıra, virüs bulaşmış sistemde çalışan modülden tarayıcı verilerini ve kimlik bilgilerini C2 sunucusuna şifrelediğini ve yüklediğini gözlemlediklerini söyledi.
Bilmedikleri tek şey, kötü amaçlı yazılımın nasıl dağıtıldığı, yani kurbanların sahte sayfaya nasıl ulaştığıdır. Geçmişte, sahte yazılım yükleyicileri SEO zehirlemesi, reklam yazılımı paketleri veya e-posta yoluyla gönderiliyordu.
Sahte yazılım yükleyicileri genellikle meşru uygulama kılığına giriyor
Meşru uygulamalarmış gibi davranan sahte yazılım yükleyicileri yeni değil. Kullanıcılar genellikle indirmek için masaüstü veya mobil uygulamalar arıyor ve popüler ücretli uygulamaların veya hizmetlerin ücretsiz sürümlerini bulmayı umuyor.
Bunu bilen siber suçlular, kendilerini sahte yükleyicilere yönlendirmek için genellikle Google Ads aracılığıyla kötü amaçlı reklamlardan yararlanır.
“Son kullanıcılar yazılımı yalnızca doğrudan güvenilir kaynaktan indirme konusunda dikkatli olmalı ve yazılım indirmelerini barındıran etki alanlarını her zaman resmi web sitesine ait alan adlarıyla karşılaştırmalıdır. Proofpoint araştırmacıları, insanların arama motoru sonuçlarındaki reklamlara karşı da dikkatli olmaları gerektiğini, zira bu tür enfeksiyonların özellikle geçen yıl içinde ortaya çıkmasının önemli bir nedeninin bu olduğu görülüyor,” diye tavsiyede bulunuyor.