Logiciel malveillant ZenRAT : est-ce grave ?

« Le logiciel malveillant cible spécifiquement les utilisateurs de Windows et redirige les personnes utilisant d’autres hôtes vers une page web bénigne », a déclaré l’entreprise de sécurité Proofpoint dans un rapport technique. « Le logiciel malveillant est un cheval de Troie modulaire d’accès à distance (RAT) avec des capacités de vol d’informations.

ZenRAT est hébergé sur de faux sites web prétendant être associés à Bitwarden, bien que l’on ne sache pas exactement comment le trafic est dirigé vers ces domaines. Par le passé, de tels logiciels malveillants ont été propagés par le biais d’attaques de phishing, de malvertising ou d’empoisonnement des moteurs de recherche.

La charge utile (Bitwarden-Installer-version-2023-7-1.exe), téléchargée à partir de crazygameis[.]com, est une version trojanisée du paquet d’installation standard de Bitwarden qui contient un exécutable .NET malveillant (ApplicationRuntimeMonitor.exe).

Un aspect notable de la campagne est que les utilisateurs qui finissent par visiter le site web trompeur à partir de systèmes non Windows sont redirigés vers un article cloné d’opensource.com publié en mars 2018 sur « Comment gérer vos mots de passe avec Bitwarden, une alternative à LastPass. »

En outre, les utilisateurs de Windows qui cliquent sur les liens de téléchargement marqués pour Linux ou macOS sur la page Téléchargements sont redirigés vers le site légitime de Bitwarden, vault.bitwarden.com.

Une analyse des métadonnées du programme d’installation révèle que l’auteur de la menace a tenté de faire passer le logiciel malveillant pour Speccy de Piriform, un utilitaire Windows gratuit permettant d’afficher des informations sur le matériel et les logiciels.

La signature numérique utilisée pour signer l’exécutable n’est pas seulement invalide, elle prétend également être signée par Tim Kosse, un informaticien allemand bien connu pour avoir développé le logiciel FTP multiplateforme gratuit FileZilla.

Une fois lancé, ZenRAT recueille des informations sur l’hôte, notamment le nom du processeur, le nom du processeur graphique, la version du système d’exploitation, les informations d’identification du navigateur et les applications et logiciels de sécurité installés, et les transmet à un serveur de commande et de contrôle (C2) (185.186.72[.]14) exploité par les auteurs de la menace.

« Le client initie la communication avec le serveur C2 », explique Proofpoint. « Indépendamment de la commande et des données supplémentaires transmises, le premier paquet est toujours de 73 octets.

ZenRAT est également configuré pour transmettre ses journaux au serveur en clair, qui capture une série de vérifications du système effectuées par le malware et le statut de l’exécution de chaque module, indiquant son utilisation en tant qu' »implant modulaire ». Pour limiter ces menaces, il est recommandé aux utilisateurs de ne télécharger des logiciels qu’à partir de sources fiables et de s’assurer de l’authenticité des sites web visités.