ZenRAT: Falscher Passwort-Manager entpuppt sich als Remote Access Trojaner
Die Hintermänner missbrauchen den guten Ruf des Passwort-Managers Bitwarden. Ein gefälschtes Installationspaket enthält den Trojaner ZenRAT. Er stiehlt unter anderem im Browser hinterlegte Anmeldedaten.
Sicherheitsexperten von Proofpoint haben nach einem Tipp eines Kollegen von Malwarebytes eine neue Schadsoftware identifiziert. Die als ZenRAT bezeichnete Malware ist ein Remote Access Trojaner, der sich in einem gefälschten Installationspaket des Passwort-Managers Bitwarden versteckt.
Bei ihrer Analyse des von Malwarebytes bereitgestellten Malware-Samples fanden die Experten von Proofpoint ein bösartige ausführbare .NET-Datei: den Trojaner ZenRAT. Die Datei wurde auf einer Website zum Download angeboten, die eine Verbindung zur legitimen Bitwarden-Seite vorgibt. Allerdings wird die gefälschte Seite ausschließlich Besuchern angezeigt, die von einem Windows-Host darauf zugreifen. Nicht-Windows-Nutzer sehen eine vollkommen andere und harmlose Seite.
Klicken Windows-Nutzer auf den Download-Button, wird die eigentliche Schadsoftware heruntergeladen und installiert. ZenRAT ist laut den Forschern modular aufgebaut. Die Hauptaufgabe des Trojaners ist der Diebstahl vertraulicher Informationen. Neben Daten über das infizierte System sammelt ZenRAT auch im Browser gespeicherte Anmeldedaten. Alle Informationen werden an einen entfernten Befehlsserver übermittelt.
Den eigentlichen Verbreitungsweg konnten die Forscher indes bisher nicht ermitteln. Unklar ist unter anderem, wie Opfer auf die gefälschte Bitwarden-Website gelockt/umgeleitet werden.
“Malware wird oft über Dateien verbreitet, die sich als legitime Anwendungsinstallationsprogramme ausgeben. Endbenutzer sollten darauf achten, Software nur direkt von einer vertrauenswürdigen Quelle herunterzuladen, und die Domänen, die Software-Downloads hosten, immer mit den Domänen der offiziellen Website vergleichen. Außerdem sollte man sich vor Anzeigen in den Suchmaschinenergebnissen in Acht nehmen, da dies ein Hauptgrund für Infektionen dieser Art zu sein scheint, insbesondere im letzten Jahr”, heißt es in einem Blogeintrag von Proofpoint.