Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha detectado un nuevo malware llamado ZenRAT que se distribuye a través de falsos paquetes de instalación del gestor de contraseñas Bitwarden para Windows. ZenRAT se trata de un troyano de acceso remoto (RAT) modular con capacidad para robar información.
Este malware se detectó inicialmente en una web que fingía ser un sitio oficial de descarga del gestor de contraseñas. El paquete de instalación estándar descargado de esta web incluye un ejecutable .NET malicioso que instala ZenRAT. Es importante destacar que el sitio web sólo muestra la descarga falsa de Bitwarden si el usuario accede a través de un host Windows.
Sin embargo, si un usuario con un sistema operativo diferente a Windows accede a este dominio, la página cambia a algo totalmente diferente. La web se hace pasar por una página legítima “opensource.com”, llegando incluso a clonar un artículo sobre Bitwarden escrito por Scott Nesbitt y publicado realmente en dicha web. Si los usuarios de Windows hacen clic en los enlaces de descarga para Linux o MacOS en la página de descargas, son redirigidos al sitio legítimo de Bitwarden (vault.bitwarden.com); mientras que dando directamente al botón de descargar o al instalador de escritorio para Windows, se intenta descargar la payload (Bitwarden-Installer-version-2023-7-1.exe).
“Es habitual que se distribuyan programas maliciosos a través de archivos que se hacen pasar por instaladores de aplicaciones legítimas”, avisan desde el equipo de investigación de Proofpoint. “De momento, desconocemos cómo se distribuye este malware en concreto, pero normalmente son entregados a través de SEO Poisoning, paquetes de adware, o por correo electrónico”.
