Bitwarden Password Manager’ı yakın zamanda yüklediyseniz, onu sahte, kötü niyetli bir kaynaktan değil, resmi web sitesinden indirdiğinizden emin olun.
- ZenRAT kötü amaçlı yazılımı, yaygın olarak kullanılan Bitwarden şifre yöneticisi için bir kurulum paketi olarak dağıtılır.
- Kötü amaçlı yazılım operatörleri, kötü amaçlı yazılımı dağıtmak için sahte bir Bitwarden web sitesi tasarladı.
- Özellikle Windows tabanlı cihazları arar.
- ZenRAT, hassas bilgileri çalabilen modüler bir RAT’tır.
Kurumsal güvenlik firması Proofpoint’in siber güvenlik araştırmacıları, popüler şifre yöneticisi Bitwarden’ın kullanıcıları kandırmak ve cihazlarındaki hassas verileri çalmak için kurulum paketi olarak dağıtılan yeni ve ürkütücü bir kötü amaçlı yazılım keşfetti.
ZenRAT adı verilen bu sahte kurulum paketi, orijinaline tamamen benzeyen ancak meşru olmayan sahte bir Bitwarden web sitesi aracılığıyla sunuluyor. Kullanıcı dikkat ederse, sahte web sitesinin adı bitwaridencom olduğundan kötü amaçlı yazılım operatörlerinin yazım hatası tekniğini kullandığını anlamak kolaydır.
ZenRAT’ın ana hedefleri şüphelenmeyen Windows kullanıcılarıdır. Bir ziyaretçi başka bir platform (örn. Linux veya macOS) için işaretlenmiş indirilebilir bağlantıya tıklarsa, İndirilenler sayfasındaki orijinal Bitwarden web sitesine (vault.bitwarden.com) yönlendirilir. Bir Windows kullanıcısı buna tıklarsa, cihazına ZenRAT bulaşacak ve kötü amaçlı yazılım, C2 sunucusuyla (185.186.7214) bağlantı kuracak.
Bu yapıldıktan sonra kötü amaçlı yazılım, sistem ayrıntıları ve saklanan kimlik bilgileri dahil olmak üzere istenen verileri toplayacaktır. ZenRAT, CPU ve GPU adları, işletim sistemi sürümü, RAM, IP adresi ve cihaz ağ geçidi gibi bilgileri çalabilir. Ayrıca yüklü antivirüs çözümleri ve diğer uygulamalar hakkındaki bilgileri de çıkaracaktır. Ayrıca tarayıcı verilerini ve şifrelerini de çalabilir. ZenRAT, günlükleri C2 sunucusuna düz metin olarak iletir.
Web sitesi ziyaretçilerini iyi huylu bir web sitesine yönlendirir. Ancak araştırmacılar ziyaretçilerin siteye nasıl yönlendirildiğini belirtmedi. Daha önce kötü amaçlı yazılım, bu tür kampanyalarda kimlik avı, SEO zehirlenmesi veya kötü amaçlı reklam saldırıları yoluyla dağıtılıyordu. Yükün adı Bitwarden-installer-version-2023-7-1.exe’dir ve çılgıngamescom aracılığıyla indirilir. Yasal Bitwarden yükleyicisinin truva atı haline getirilmiş bu sürümü, (ApplicationRuntimeMonitor.exe) başlıklı bir .NET yürütülebilir dosyası içerir.
Proofpoint’in blog gönderisine göre, araştırmacılar kötü amaçlı yükleyici paketinin meta verilerini incelediklerinde, saldırganın onu Priform’s Speccy olarak gizlediğini gözlemlediler. Donanım/yazılımla ilgili bilgileri görüntüleyen ücretsiz bir Windows yardımcı programıdır.
Üstelik yürütülebilir dosyanın, FileZilla’nın ünlü Alman bilgisayar bilimcisi Tim Kosse tarafından imzalanmış gibi görünen geçersiz bir imzası var. Ancak bu imza da sahtedir. Bu modüler RAT aynı zamanda cihazda çalışmanın güvenli olup olmadığını belirlemek için korumalı alan önleme ve VM önleme kontrolleri de gerçekleştirir. Kontroller ayrıca uygulamanın Rusça konuşulan herhangi bir bölgede kurulu olmadığından emin olmak için coğrafi sınırlamayı da içeriyor.
Parola Yöneticisini Kullanırken Dikkatli Olun
Araştırmacılar, kullanıcılara yazılım indirirken dikkatli olmalarını ve uygulamaları yalnızca resmi kaynaklardan edinmelerini şiddetle tavsiye ediyor. Parola yöneticilerinin sık sık siber saldırılara ve dolandırıcılıklara hedef olduğunu belirtmekte fayda var; LastPass bunun dikkate değer bir örneğidir.
Daha güvenli bir alternatif olarak en iyi üç tarayıcı (Google Chrome, Mozilla Firefox ve Safari) ücretsiz şifre yöneticisi özellikleri sunar. Hangi hizmeti kullanacağınızdan emin değilseniz bu üç seçenekten herhangi biri benzer faydalar sağlayabilir ve bazı durumlarda diğerlerinden daha güvenli olabilir.
İLGİLİ MAKALELER
- Sahte Windows 11 yükleyicileri cihazlara reklam yazılımı bulaştırıyor
- Kötü Amaçlı Reklamcılıkta Koca Kafalı Fidye Yazılımı, Sahte Windows Güncellemeleri
- Sahte Telegram ve WhatsApp klonları Android ve Windows’ta kriptoyu hedefliyor