27. September 2023 pi

Cybersecurity-Unternehmen warnen vor gefälschtem Passwort-Manager

Nach dem Tipp eines Kollegen von Malwarebytes konnten Experten von Proofpoint eine neue Schadsoftware identifizieren. Es handelt sich um einen Remote Access Trojaner (RAT), den die Experten „ZenRAT“ tauften. [...]

Foto: pfarrdiakon/Pixabay

Proofpoint erhält häufig Hinweise aus der Security-Community, die zur Untersuchung und Erkennung neuer Malware führen. Am 10. August 2023 teilte Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes, ein Malware-Sample als Teil eines Windows-Software-Installationspakets.

Das Sample wurde zunächst auf einer Website entdeckt, die vorgab, mit Bitwarden in Verbindung zu stehen: bitwariden[.]com, ähnelt der echten Website bitwarden.com sehr stark. In dem Standard-Installationspaket, das sich als Bitwarden ausgibt, ist eine bösartige ausführbare .NET-Datei enthalten, welche die Proofpoint-Experten „ZenRAT“ getauft haben.

Wie die Cyberkriminellen hinter ZenRAT die Malware verbreiten, ist aktuell noch unklar. In der Vergangenheit wurde Malware, die sich als gefälschtes Software-Installationsprogramm tarnte, über SEO Poisoning, Adware-Bundles oder per E-Mail verbreitet.

Screenshot von Gefälschter Bitwarden website, bitwariden[.]com.
Abbildung 1: Gefälschte Bitwarden website, bitwariden[.]com. Mit erstaunlicher Ähnlichkeit zur echten Website bitwarden.com. Es ist zurzeit unklar, wie Cyberkriminelle den Verkehr zu dieser Domäne leiten. (Quelle: Proofpoint, Inc.)

Ausschließlich Windows-Nutzer im Visier

Die bösartige Website zeigt den gefälschten Bitwarden-Download nur an, wenn ein Benutzer über einen Windows-Host darauf zugreift. Besucht ein Nicht-Windows-Nutzer die Domain, wird eine völlig andere Seite angezeigt.

Screenshot des redirects der gefälschten Bitwarden Seite.
Abbildung 2: Wenn ein Nicht-Windows-Nutzer versucht, die bösartige Website zu besuchen, wird er stattdessen auf einen geklonten opensource.com-Artikel umgeleitet. Dieser Screenshot wurde mit Mozilla Firefox auf Ubuntu 22.04 erstellt. (Quelle: Proofpoint, Inc.)

Die Website gibt sich stattdessen als die legitime Website „opensource.com“ aus und geht sogar so weit, einen Artikel von Opensource.com von Scott Nesbitt über den Bitwarden-Passwort-Manager zu klonen.

Wenn Windows-Benutzer auf der Download-Seite auf Download-Links klicken, die für Linux oder MacOS gekennzeichnet sind, werden sie stattdessen auf die legitime Bitwarden-Website vault.bitwarden.com umgeleitet.

Wenn sie auf die Schaltfläche „Download“ oder die Schaltfläche „Desktop-Installer for Windows“ klicken, wird versucht, die Datei Bitwarden-Installer-version-2023-7-1.exe herunterzuladen.

Diese Payload wird bzw. wurde auf der Domäne crazygameis[.]com gehostet. Zum Zeitpunkt der Veröffentlichung des Proofpoint-Blogs (engl.) fungierte sie jedoch offenbar nicht mehr als Host für die Payload.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Ein Refresher dazu was Remote Access Trojans sind.

Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*