Thought Leadership
Nach dem Tipp eines Kollegen von Malwarebytes konnten Experten des Cybersecurity- und Compliance-Unternehmens Proofpoint eine neue Schadsoftware identifizieren. Es handelt sich um einen Remote Access Trojaner (RAT), den die Experten „ZenRAT“ tauften. Die Malware tarnt sich als vermeintliches Installationspaket des beliebten Passwort-Managers Bitwarden.
Proofpoint erhält häufig Hinweise aus der Security-Community, die zur Untersuchung und Erkennung neuer Malware führen. Am 10. August 2023 teilte Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes, ein Malware-Sample als Teil eines Windows-Software-Installationspakets. Das Sample wurde zunächst auf einer Website entdeckt, die vorgab, mit Bitwarden in Verbindung zu stehen: bitwariden.com, ähnelt der echten Website bitwarden.com sehr stark. In dem Standard-Installationspaket, das sich als Bitwarden ausgibt, ist eine bösartige ausführbare .NET-Datei enthalten, welche die Proofpoint-Experten „ZenRAT“ getauft haben.
Wie die Cyberkriminellen hinter ZenRAT die Malware verbreiten, ist aktuell noch unklar. In der Vergangenheit wurde Malware, die sich als gefälschtes Software-Installationsprogramm tarnte, über SEO Poisoning, Adware-Bundles oder per E-Mail verbreitet.
![Gefälschte Bitwarden website, bitwariden[.]com. Mit erstaunlicher Ähnlichkeit zur echten Website bitwarden.com.](https://www.it-daily.net/wp-content/uploads/2023/10/ZenRAT-gefaelschter-Passwort-Manager-Bild1_1000.webp "ZenRAT: Warnung vor gefälschtem Passwort-Manager 1")
Bild 1: Gefälschte Bitwarden website, bitwariden[.]com. Mit erstaunlicher Ähnlichkeit zur echten Website bitwarden.com. Es ist zurzeit unklar, wie Cyberkriminelle den Verkehr zu dieser Domäne leiten.
Ausschließlich Windows-Nutzer im Visier
Die bösartige Website zeigt den gefälschten Bitwarden-Download nur an, wenn ein Benutzer über einen Windows-Host darauf zugreift. Besucht ein Nicht-Windows-Nutzer die Domain, wird eine völlig andere Seite angezeigt.
Bild 2: Wenn ein Nicht-Windows-Nutzer versucht, die bösartige Website zu besuchen, wird er stattdessen auf einen geklonten opensource.com-Artikel umgeleitet. Dieser Screenshot wurde mit Mozilla Firefox auf Ubuntu 22.04 erstellt.
Die Website gibt sich stattdessen als die legitime Website „opensource.com“ aus und geht sogar so weit, einen Artikel von Opensource.com von Scott Nesbitt über den Bitwarden-Passwort-Manager zu klonen. Wenn Windows-Benutzer auf der Download-Seite auf Download-Links klicken, die für Linux oder MacOS gekennzeichnet sind, werden sie stattdessen auf die legitime Bitwarden-Website vault.bitwarden.com umgeleitet. Wenn sie auf die Schaltfläche „Download“ oder die Schaltfläche „Desktop-Installer for Windows“ klicken, wird versucht, die Datei Bitwarden-Installer-version-2023-7-1.exe herunterzuladen. Diese Payload wird bzw. wurde auf der Domäne crazygameis[.]com gehostet. Zum Zeitpunkt der Veröffentlichung des Proofpoint-Blogs fungierte sie jedoch offenbar nicht mehr als Host für die Payload.
www.proofpoint.com
