کمیته رکن چهارم – کارشناسان امنیت سایبری یک بدافزار جدید به نام ZenRAT را کشف کردهاند که با نصب یک برنامه مدیریت رمز عبور وارد سیستمها میشود.
بدافزار جدید ZenRAT کاربران ویندوز را از طریق نرمافزار مدیریت رمز عبور جعلی مورد هدف قرار میدهد. نسخه جدیدی از نرمافزار مخرب ZenRAT در فضای سایبری مشاهده شده است که از طریق بستههای نصب جعلی نرمافزار مدیریت کلمات عبور Bitwarden توزیع میشود.
این نرمافزار مخرب بهطور خاص، کاربران ویندوز را مورد هدف قرار داده و افرادی را که از میزبانهای دیگر استفاده میکنند، به یک صفحه وب بیخطر هدایت میکند. این نرمافزار مخرب یک تروجان (RAT) از راه دور ماژولار با قابلیت سرقت اطلاعات است.
ZenRAT در وبسایتهای جعلی که وانمود میکنند به Bitwarden مرتبط هستند، میزبانی میشود، اگرچه مشخص نیست که چگونه ترافیک به دامنههای مختلف هدایت میشود. چنین نرمافزار مخربی در گذشته از طریق حملات فیشینگ، بدافزار تبلیغانی یا حملات مرتبط با موتورهای جستجو (SEO) منتشر شده است.
بارگیری بسته (Bitwarden-Installer-version-2023-7-1.exe) از crazygameis[.]com، یک نسخه تروجانی از بسته نصب استاندارد Bitwarden است که شامل یک فایل اجرایی مخرب .NET (ApplicationRuntimeMonitor.exe) میباشد.
یکی از جنبههای قابلتوجه حمله به این شکل است که کاربرانی که از سیستمهای غیر ویندوزی استفاده میکنند، به وبسایت جعلی شامل مقالهای منتشر شده از سال ۲۰۱۸ در opensource.com هدایت میشوند. این مقاله درباره «چگونگی مدیریت کلمات عبور با استفاده از Bitwarden» میباشد.
علاوه بر این، کاربران سیستم عامل ویندوز که بر روی لینکهای دانلود مخصوص سیستمعاملهای Linux یا macOS در صفحه دانلود کلیک میکنند، به وبسایت معتبر Bitwarden با آدرس vault.bitwarden.com هدایت میشوند.
پس از بررسی و تحلیل اطلاعات فایل installer مشخص شد که مهاجم در تلاش است تا نرمافزار مخرب را بهعنوان “Speccy” که یک نرمافزار تولید شده توسط شرکت Piriform است و برای سیستمهای ویندوز طراحی شده است، نشان دهد. این نرمافزار به کاربران امکان مشاهده و نمایش جزئیات و اطلاعات مربوط به سختافزار و نرمافزار روی کامپیوترهای شخصی خود را میدهد. به عبارت دیگر، Speccy به کاربران کمک میکند تا اطلاعات مختلفی از جمله اطلاعات سیستمی مانند نوع و مدل سختافزارها، دما، وضعیت دیسکها و اطلاعات نرمافزاری مانند نسخه سیستمعامل و برنامههای نصب شده را بررسی و مشاهده کنند. این ابزار معمولاً به منظور اطلاع از وضعیت سیستم و رفع مشکلات عملکردی و عیبیابی در سیستمهای ویندوز مورد استفاده قرار میگیرد.
امضای دیجیتال مورد استفاده برای امضای فایلهای اجرایی، نه تنها نامعتبر است بلکه ادعا میشود که توسط Tim Kosse، یک دانشمند کامپیوتر معروف آلمانی که برای توسعه نرمافزار FTP رایگان FileZilla شناخته میشود، امضا شده است.
با اجرای ZenRAT، اطلاعاتی از جمله نام CPU، نام GPU، نسخه سیستمعامل، اطلاعات اعتبار مرورگر و نرمافزارهای نصب شده و نرمافزارهای امنیتی از میزبان جمعآوری میشود و به یک سرور کنترل دستور (C2) اداره شده توسط مهاجم با آدرس ۸۵٫۱۸۶٫۷۲٫۱۴ ارسال میشوند.
ZenRAT طوری تنظیم شده است که گزارشات خود را به سرور بهصورت متن ساده ارسال خواهد کرد. این گزارشات شامل بررسیهای سیستمی انجام شده توسط نرمافزار مخرب و وضعیت اجرای هر ماژول است.
توصیههای امنیتی
- دانلود نرمافزار از منابع معتبر: همیشه نرمافزارها و برنامهها را از منابع معتبر و رسمی دانلود کنید. در خصوص Bitwarden، توصیه میشود از وبسایت رسمی آن (vault.bitwarden.com) استفاده کنید.
- تایید امضای دیجیتال: هنگام دانلود یک نرمافزار، امضای دیجیتال را بررسی کنید تا از معتبر بودن آن اطمینان حاصل کنید. اگر امضای دیجیتال نامعتبر یا نادرست باشد، نرمافزار را نصب نکنید.
- آگاهی از دامنههای جعلی: توجه نمایید به چه دامنهای از وبسایت میروید. از وبسایتهای جعلی یا مشکوک دوری کرده و تنها به وبسایتهای معتبر دسترسی داشته باشید.
منبع : افتانا
