Yeni bir kötü amaçlı yazılım türü adı verildi ZenRAT Bitwarden şifre yöneticisinin sahte kurulum paketleri aracılığıyla dağıtılan bir virüs ortalıkta ortaya çıktı.
Kurumsal güvenlik firması Proofpoint teknik bir raporda, “Kötü amaçlı yazılım özellikle Windows kullanıcılarını hedef alıyor ve diğer ana bilgisayarları kullanan kişileri zararsız bir web sayfasına yönlendirecek.” dedi. “Kötü amaçlı yazılım, bilgi çalma yetenekleri olan modüler bir uzaktan erişim truva atıdır (RAT).
ZenRAT, Bitwarden ile ilişkili gibi görünen sahte web sitelerinde barındırılıyor, ancak trafiğin alanlara nasıl yönlendirildiği belirsiz. Bu tür kötü amaçlı yazılımlar geçmişte kimlik avı, kötü amaçlı reklamcılık veya SEO zehirleme saldırıları yoluyla yayıldı.
Crazygameis’ten indirilen yük (Bitwarden-Installer-version-2023-7-1.exe)[.]com, standart Bitwarden kurulum paketinin kötü amaçlı bir .NET çalıştırılabilir dosyası (ApplicationRuntimeMonitor.exe) içeren truva atı haline getirilmiş bir sürümüdür.
Kampanyanın dikkat çeken bir yönü, aldatıcı web sitesini Windows dışındaki sistemlerden ziyaret eden kullanıcıların, Mart 2018’de yayınlanan “LastPass alternatifi Bitwarden ile şifrelerinizi nasıl yönetirsiniz?” konulu klonlanmış bir opensource.com makalesine yönlendirilmeleridir.
Ayrıca, İndirilenler sayfasında Linux veya macOS için işaretlenmiş indirme bağlantılarını tıklayan Windows kullanıcıları meşru Bitwarden sitesi olan Vault.bitwarden.com’a yönlendirilir.
Yükleyicinin meta verilerinin analizi, tehdit aktörünün kötü amaçlı yazılımı, donanım ve yazılım bilgilerini gösteren ücretsiz bir Windows yardımcı programı olan Piriform’s Speccy olarak maskeleme girişimlerini ortaya koyuyor.
Yürütülebilir dosyayı imzalamak için kullanılan dijital imza yalnızca geçersiz olmakla kalmıyor, aynı zamanda ücretsiz platformlar arası FTP yazılımı FileZilla’yı geliştirmesiyle tanınan tanınmış bir Alman bilgisayar bilimcisi olan Tim Kosse tarafından imzalandığı iddia ediliyor.
ZenRAT başlatıldığında, CPU adı, GPU adı, işletim sistemi sürümü, tarayıcı kimlik bilgileri ve yüklü uygulamalar ile güvenlik yazılımı da dahil olmak üzere ana bilgisayar hakkındaki ayrıntıları bir komut ve kontrol (C2) sunucusuna (185.186.72) toplar.[.]14) tehdit aktörleri tarafından işletilmektedir.
Proofpoint, “Müşteri C2 ile iletişimi başlatır” dedi. “Komut ve iletilen ekstra veri ne olursa olsun, ilk paket her zaman 73 bayttır.”
ZenRAT ayrıca günlüklerini sunucuya düz metin olarak iletecek şekilde yapılandırılmıştır; bu, kötü amaçlı yazılım tarafından gerçekleştirilen bir dizi sistem kontrolünü ve her modülün yürütme durumunu yakalayarak, “modüler, genişletilebilir bir implant” olarak kullanıldığını gösterir.
Bu tür tehditleri azaltmak için kullanıcıların yazılımı yalnızca güvenilir kaynaklardan indirmeleri ve web sitelerinin orijinalliğinden emin olmaları önerilir.
Açıklama, Lumma Stealer olarak bilinen bilgi hırsızının Ağustos 2023’ün başından bu yana imalat, perakende ve ticari sektörleri tehlikeye attığının gözlemlenmesi üzerine geldi.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
eSentire, bu ayın başlarında yaptığı açıklamada, “Bilgi hırsızlığı, Chrome ve Edge tarayıcı yükleyicileri gibi sahte yükleyiciler gibi görünen otomatik indirmeler yoluyla teslim edildi ve bunların bir kısmı PrivateLoader aracılığıyla dağıtıldı.” dedi.
İlgili bir kampanyada, Google İşletme Profili ve Google E-Tablolar’ı taklit eden hileli web sitelerinin, güvenlik güncellemesi bahanesiyle kullanıcıları Stealc adlı hırsızlığa yönelik bir kötü amaçlı yazılım yüklemeleri için kandırdığı tespit edildi.
Kanadalı siber güvenlik şirketi, “Arabadan indirmeler, bilgi hırsızları ve yükleyiciler gibi kötü amaçlı yazılımları yaymak için yaygın bir yöntem olmaya devam ediyor” dedi.