Les utilisateurs Windows souhaitant configurer le gestionnaire de mots de passe Bitwarden pourraient avoir accidentellement configuré un cheval de Troie d’accès à distance (RAT).
Le malware ZenRAT
Un logiciel malveillant Le site authentique de Bitwarden (situé sur bitwariden [] com) utilise de faux kits d’installation, notamment le malware ZenRAT.
Le faux site Bitwarden. (Source : Proofpoint)
Le site Web falsifié et le programme d’installation Bitwarden piégé ont été utilisés pour le téléchargement uniquement pour les utilisateurs Windows ; Les utilisateurs Mac et Linux ont découvert diverses variantes de la page de destination.
« Le site se fait plutôt passer pour le site légitime opensource.com, en supposant qu’il clone un court article de opensource.com par Scott Nesbitt, à propos du superviseur de mots de passe Bitwarden. De plus, si les utilisateurs Windows cliquent sur les liens de téléchargement marqués pour Linux ou MacOS sur la page Téléchargements, ils sont redirigés vers le véritable site Bitwarden, vault.bitwarden.com« , ont partagé les scientifiques de Proofpoint.
Si l’utilisateur clique sur le bouton de téléchargement de Windows, le faux programme d’installation est téléchargé sur son gadget.
« Le le malware est un cheval de Troie modulaire d’accès à distance (RAT) doté de capacités de vol de détails. Il dispose d’une gamme de contrôles anti-VM et anti-sandbox qu’il effectue sur l’hôte pour déterminer s’il est sûr à exécuter, consistant en un géofencing vérifiez pour vous assurer qu’il ne sera pas installé dans différents endroits russophones », a déclaré Selena Larson, experte principale en renseignement sur les risques chez Proofpoint, à Assistance Net Security.
« Il montre une capacité modulaire : des modules qui ont des performances spécifiques. peut être téléchargé sur commande après l’infection. Le seul module que Proofpoint a observé jusqu’à présent est un module de prise d’informations sur un navigateur Internet. Les modules que nous avons observés nécessitaient des arguments spécifiques pour fonctionner sur l’hôte contaminé. le serveur C2, ainsi que les détails du système.
La seule chose qu’ils ne comprennent pas, c’est comment le malware est dispersé, c’est-à-dire comment les victimes arrivent à la page usurpée. Dans le passé, de faux installateurs de logiciels ont été livrés via un empoisonnement SEO, des offres groupées de logiciels publicitaires ou par e-mail.
De faux installateurs d’applications logicielles se faisant souvent passer pour des applications légitimes
De faux installateurs d’applications logicielles prétendant être des applications légitimes ne sont pas des marques. -nouveau. Les utilisateurs recherchent généralement des applications de bureau ou mobiles à télécharger et souhaitent souvent découvrir des versions gratuites d’applications ou de services payants populaires.
Sachant cela, les cybercriminels utilisent généralement la publicité malveillante via les publicités Google pour les amener à falsifier installateurs.
« Les utilisateurs finaux doivent garder à l’esprit qu’ils téléchargent uniquement des applications logicielles directement à partir de la source fiable et inspecter constamment les domaines hébergeant les téléchargements de logiciels par rapport aux domaines provenant du site officiel. Les individus doivent également se méfier des publicités dans les résultats des moteurs de recherche, car elles semblent être un moteur majeur d’infections de cette nature, en particulier au cours de l’année dernière », recommandent les scientifiques de Proofpoint.
Toute l’actualité en temps réel, est sur L’Entrepreneur