Allerta ZenRAT: il malware si diffonde tramite imitazione di Bitwarden

Grazie a una recente ricerca di Proofpoint, è stato possibile individuare un nuovo ceppo malware (chiamato ZenRAT) che si nascondeva in alcuni pacchetti di installazione di Bitwarden appositamente contraffatti.

Stiamo parlando di un trojan modulare di accesso remoto, rivolto specificamente agli utenti Windows con un focus principale sul furto di informazioni sensibili. Sebbene il metodo esatto di distribuzione del malware rimanga sconosciuto, casi passati di minacce simili hanno spesso sfruttato tecniche come SEO poisoning o tramite campagne e-mail.

ZenRAT inizialmente è apparso su un sito Web ingannevole somigliante a quello legittimo di Bitwarden. Questo mostrava selettivamente un download Bitwarden contraffatto per gli utenti Windows.

Il file di installazione è stato inizialmente segnalato su VirusTotal con un nome diverso alla fine di luglio 2023. In quel caso, però, il malware si “traveste” da Piriform’s Speccy, un programma di raccolta delle specifiche di sistema.

ZenRAT è un malware modulare, capace di essere adattato facilmente a diversi contesti

ZenRAT, che una volta avviato si presenta come ApplicationRuntimeMonitor.exe, funziona raccogliendo un’ampia gamma di informazioni di sistema al momento dell’esecuzione, come dettagli riguardantii CPU e GPU, versione del sistema operativo, RAM, indirizzo IP, software antivirus e altre applicazioni installate.

Questi dati rubati, insieme alle informazioni del browser, vengono successivamente trasmessi a un server di comando e controllo (C2), utilizzando un protocollo di comunicazione specifico.

ZenRAT supporta diversi comandi, inclusa la trasmissione di log, che rivela controlli dettagliati del sistema, geofencing, creazione di mutex, verifica delle dimensioni del disco e misure anti-virtualizzazione. Il design modulare di ZenRAT implica il potenziale per estendere le sue capacità, sebbene, per ora, siano state osservate solo le funzionalità principali

Per evitare rischi, in un avviso pubblicato oggi, Proofpoint ha fortemente invitato gli utenti a scaricare software esclusivamente da fonti affidabili “Gli utenti finali dovrebbero prestare attenzione a scaricare solo il software direttamente dalla fonte attendibile e controllare sempre i domini che ospitano i download del software rispetto ai domini appartenenti al sito Web ufficiale“.