Οι ερευνητές κυβερνοασφάλειας της εταιρείας ασφάλειας επιχειρήσεων Proofpoint ανακάλυψαν ένα τρομακτικό νέο κακόβουλο λογισμικό που διανέμεται ως πακέτο εγκατάστασης του δημοφιλούς διαχειριστή κωδικών πρόσβασης Bitwarden για να εξαπατήσει τους χρήστες και να κλέψει ευαίσθητα δεδομένα από τις συσκευές τους.
Αυτό το ψεύτικο πακέτο εγκατάστασης, με την ονομασία ZenRAT, παραδίδεται μέσω ενός ψεύτικου ιστότοπου Bitwarden, ο οποίος μοιάζει ακριβώς με τον αρχικό, αλλά δεν είναι νόμιμος. Αν ένας χρήστης δώσει προσοχή, είναι εύκολο να αντιληφθεί ότι οι χειριστές του κακόβουλου λογισμικού έχουν χρησιμοποιήσει την τεχνική typosquatting, επειδή ο ψεύτικος ιστότοπος έχει τίτλο bitwaridencom.
Οι κύριοι στόχοι του ZenRAT είναι ανυποψίαστοι χρήστες των Windows. Εάν ένας επισκέπτης κάνει κλικ στο σύνδεσμο λήψης που είναι σημειωμένος για άλλη πλατφόρμα (π.χ. Linux ή macOS), ανακατευθύνεται στον αρχικό ιστότοπο της Bitwarden (vault.bitwarden.com) στη σελίδα Λήψεις. Εάν ένας χρήστης των Windows κάνει κλικ σε αυτόν, η συσκευή του θα μολυνθεί με το ZenRAT και το κακόβουλο λογισμικό θα δημιουργήσει μια σύνδεση με τον διακομιστή C2 (185.186.7214).
Μόλις γίνει αυτό, το κακόβουλο λογισμικό θα συλλέξει τα επιθυμητά δεδομένα, συμπεριλαμβανομένων των λεπτομερειών του συστήματος και των αποθηκευμένων διαπιστευτηρίων. Το ZenRAT μπορεί να κλέψει πληροφορίες όπως τα ονόματα της CPU και της GPU, την έκδοση του λειτουργικού συστήματος, τη μνήμη RAM, τη διεύθυνση IP και την πύλη της συσκευής. Θα αποσπάσει επίσης πληροφορίες σχετικά με τις εγκατεστημένες λύσεις antivirus και άλλες εφαρμογές. Μπορεί επίσης να κλέψει δεδομένα και κωδικούς πρόσβασης του προγράμματος περιήγησης. Το ZenRAT διαβιβάζει τα αρχεία καταγραφής στον διακομιστή C2 σε απλό κείμενο.
Επαναπροσανατολίζει τους επισκέπτες του ιστότοπου σε έναν καλοήθη ιστότοπο. Ωστόσο, οι ερευνητές δεν διευκρίνισαν πώς ανακατευθύνονται οι επισκέπτες στον ιστότοπο. Προηγουμένως, το κακόβουλο λογισμικό διανεμόταν σε τέτοιες εκστρατείες μέσω phishing, SEO poisoning ή επιθέσεων malvertising. Το ωφέλιμο φορτίο φέρει τον τίτλο Bitwarden-installer-version-2023-7-1.exe και κατεβαίνει μέσω του crazygamescom. Αυτή η δούρειος ίππος έκδοση του νόμιμου εγκαταστάτη Bitwarden περιέχει ένα εκτελέσιμο αρχείο .NET με τίτλο (ApplicationRuntimeMonitor.exe).
Σύμφωνα με την ανάρτηση στο blog της Proofpoint, όταν οι ερευνητές εξέτασαν τα μεταδεδομένα του κακόβουλου πακέτου εγκατάστασης, παρατήρησαν ότι ο επιτιθέμενος το είχε μεταμφιέσει σε Speccy της Priform. Πρόκειται για ένα δωρεάν βοηθητικό πρόγραμμα των Windows που εμφανίζει πληροφορίες σχετικές με το υλικό/λογισμικό.
Επιπλέον, το εκτελέσιμο αρχείο έχει μια άκυρη υπογραφή που φαίνεται να υπογράφεται από τον διάσημο Γερμανό επιστήμονα πληροφορικής FileZilla Tim Kosse. Ωστόσο, αυτή η υπογραφή είναι επίσης ψεύτικη. Αυτό το σπονδυλωτό RAT εκτελεί επίσης ελέγχους anti-sandbox και anti-VM για να διαπιστώσει αν είναι ασφαλές να λειτουργεί στη συσκευή. Οι έλεγχοι περιλαμβάνουν επίσης geofencing για να διασφαλιστεί ότι δεν έχει εγκατασταθεί σε καμία ρωσόφωνη περιοχή.
Προσοχή κατά τη χρήση ενός διαχειριστή κωδικών πρόσβασης
Οι ερευνητές συμβουλεύουν τους χρήστες να είναι προσεκτικοί κατά τη λήψη λογισμικού και συνιστούν να προμηθεύονται εφαρμογές αποκλειστικά από επίσημες πηγές. Αξίζει να σημειωθεί ότι οι διαχειριστές κωδικών πρόσβασης έχουν γίνει συχνά στόχος κυβερνοεπιθέσεων και απάτης, με το LastPass να αποτελεί ένα αξιοσημείωτο παράδειγμα.
Ως ασφαλέστερη εναλλακτική λύση, τα τρία κορυφαία προγράμματα περιήγησης – Google Chrome, Mozilla Firefox και Safari – προσφέρουν δωρεάν λειτουργίες διαχείρισης κωδικών πρόσβασης. Αν δεν είστε σίγουροι για το ποια υπηρεσία να χρησιμοποιήσετε, οποιαδήποτε από αυτές τις τρεις επιλογές θα σας προσφέρει παρόμοια οφέλη και, σε ορισμένες περιπτώσεις, μπορεί να είναι πιο ασφαλής από άλλες.
Bluetooth Hacking, Μέρος 1: Ξεκινώντας με το Bluetooth
Σήμερα, το Bluetooth είναι ενσωματωμένο σε σχεδόν όλες τις συσκευές και gadgets μας. Στους υπολογιστές μας, τα smartphones, τα iPods, τα tablets, τα ηχεία, τα χειριστήρια παιχνιδιών, τα πληκτρολόγια και πολλές άλλες συσκευές.
Εμείς θα επικεντρωθούμε στο χακάρισμα κινητών συσκευών, και tablets Η δυνατότητα να χακάρετε το Bluetooth απο μια συσκευή μπορεί να οδηγήσει στην παραβίαση οποιασδήποτε πληροφορίας στη συσκευή (φωτογραφίες, emails, κείμενα, κλπ.), τον έλεγχο της συσκευής και τη δυνατότητα αποστολής ανεπιθύμητων πληροφοριών στη συσκευή.
Πριν ξεκινήσουμε να χακάρουμε το Bluetooth, όμως, πρέπει να κατανοήσουμε την τεχνολογία, τους όρους και την ασφάλεια που έχει ενσωματωθεί στο Bluetooth, αν θέλουμε να το χακάρουμε με επιτυχία. Σε ένα σύντομο άρθρο όπως αυτό, δεν μπορώ να δώσω πολλές πληροφορίες, αλλά πιστεύω ότι μπορώ να σας παρέχω τα βασικά έστι ώστε να φτάσουμε και στο χακάρισμα στους επόμενους οδηγούς.
Βασικά για το Bluetooth:
Το Bluetooth είναι ένα κοινό πρωτόκολλο για επικοινωνία χαμηλής ισχύος σε κοντινή απόσταση, λειτουργώντας στα 2,4 – 2,485 GHz και αλλαγή συχνότητας σε 1.600 αλλαγές ανά δευτερόλεπτο (αυτή η αλλαγή συχνότητας είναι μέτρο ασφαλείας). Αναπτύχθηκε το 1994 από την εταιρεία Ericsson της Σουηδίας και ονομάστηκε προς τιμήν του Δανού βασιλιά Χάραλντ Μπλουτούθ του 10ου αιώνα.
Η ελάχιστη προδιαγραφή για την εμβέλεια του Bluetooth είναι 10 μέτρα, αλλά δεν υπάρχει όριο για την εμβέλεια που οι κατασκευαστές μπορούν να εφαρμόσουν στις συσκευές τους. Πολλές συσκευές έχουν εμβέλειες έως και 100 μέτρα. Με ειδικές κεραίες, μπορούμε να επεκτείνουμε ακόμα περισσότερο την εμβέλεια.
Όταν συνδέονται δύο συσκευές Bluetooth, αυτό αναφέρεται ως σύζευξη (pairing). Σχεδόν οποιεσδήποτε δύο συσκευές Bluetooth μπορούν να συνδεθούν μεταξύ τους. Κάθε συσκευή Bluetooth μεταδίδει τις παρακάτω πληροφορίες:
Όνομα
Κατηγορία
Λίστα υπηρεσιών
Τεχνικές πληροφορίες
Κατά τη σύζευξη των δύο συσκευών, ανταλλάσσουν ένα προ-κοινόχρηστο μυστικό κλειδί σύνδεσης. Κάθε συσκευή αποθηκεύει αυτό το κλειδί σύνδεσης για να αναγνωρίζει την άλλη σε μελλοντικές συζεύξεις.
Κάθε συσκευή έχει ένα μοναδικό αναγνωριστικό 48-bit (σαν διεύθυνση MAC) και συνήθως ένα όνομα που έχει ανατεθεί από τον κατασκευαστή.
Παρακάτω είναι ένα διάγραμμα της διαδικασίας σύζευξης Bluetooth. Παρόλο που είναι πολύ πιο ασφαλές τα τελευταία χρόνια, παραμένει ευάλωτο, όπως θα δούμε και σε μελλοντικούς οδηγούς.
Βασικά Εργαλεία Bluetooth στο Linux
Το BlueZ διαθέτει αρκετά απλά εργαλεία που μπορούμε να χρησιμοποιήσουμε για τη διαχείριση και τελικά το χακάρισμα Bluetooth. Σχεδόν όλες οι διανομές Linux το έχουν εγκατεστημένο
Αυτά περιλαμβάνουν:
hciconfig: Αυτό το εργαλείο λειτουργεί παρόμοια με το ifconfig στο Linux, με τη διαφορά ότι λειτουργεί στις συσκευές Bluetooth.
hcitool: Αυτό είναι ένα εργαλείο ερεύνησης (inquiry). Μπορεί να μας παρέχει το όνομα της συσκευής, το αναγνωριστικό της, την κατηγορία της και την ώρα της συσκευής.
hcidump: Αυτό το εργαλείο μας επιτρέπει να “κατασκοπεύουμε” την επικοινωνία Bluetooth.
Πρωτόκολλα Bluetooth:
Τα πρωτόκολλα Bluetooth αποτελούν το σύνολο κανόνων και διαδικασιών που καθορίζουν τον τρόπο επικοινωνίας μεταξύ συσκευών που χρησιμοποιούν την τεχνολογία Bluetooth. Εδώ είναι μερικά από τα βασικά πρωτόκολλα Bluetooth:
Baseband (LMP, L2CAP, SDP): Το Baseband περιλαμβάνει το Link Manager Protocol (LMP) για τη διαχείριση συνδέσμων, το Logical Link Control and Adaptation Protocol (L2CAP) για τον έλεγχο ροής και το Service Discovery Protocol (SDP) για τον εντοπισμό υπηρεσιών.
RFCOMM: Το πρωτόκολλο αντικατάστασης καλωδίων που επιτρέπει την εικονική σύνδεση σειριακής πόρτας μέσω Bluetooth.
Telephony Control Protocol (TCS Binary, AT-commands): Πρωτόκολλο έλεγχου τηλεφωνίας που χειρίζεται τις τηλεφωνικές κλήσεις και τις εντολές AT.
Adopted Protocols (PPP, UDP/TCP/IP, OBEX, WAP, vCard, vCal, IrMC, WAE): Διάφορα πρωτόκολλα που έχουν υιοθετηθεί για επιπλέον λειτουργικότητα, συμπεριλαμβανομένων του Point-to-Point Protocol (PPP), του User Datagram Protocol (UDP), του Transmission Control Protocol (TCP), του Object Exchange Protocol (OBEX), και πολλά άλλα.
Αξίζει να σημειωθεί ότι τα πρωτόκολλα Bluetooth καθορίζουν τον τρόπο μεταφοράς δεδομένων, την αυθεντικοποίηση, την κρυπτογράφηση και άλλες λειτουργίες που είναι απαραίτητες για την ασφαλή και αποτελεσματική επικοινωνία μεταξύ συσκευών Bluetooth.
Ασφάλεια Bluetooth:
Η ασφάλεια στην τεχνολογία Bluetooth είναι ένα σημαντικό θέμα, καθώς εξασφαλίζει ότι οι χρήστες μπορούν να επικοινωνούν ασφαλώς και να μεταφέρουν δεδομένα χωρίς να αντιμετωπίζουν κινδύνους από τυχόν ανεπιθύμητη παρεμβολή ή επιθέσεις. Ορισμένα σημαντικά στοιχεία της ασφάλειας Bluetooth περιλαμβάνουν:
Αλλαγή Συχνοτήτων (Frequency Hopping): Το Bluetooth χρησιμοποιεί μια τεχνική αλλαγής συχνοτήτων για τη μείωση του κινδύνου παρεμβολής. Και ο αποστολέας και ο παραλήπτης ακολουθούν ένα προκαθορισμένο πρότυπο αλλαγής συχνοτήτων, πράγμα που δυσκολεύει τους ανεξουσίαστους παρατηρητές να παρεμβαίνουν.
Προ-Κοινόχρηστο Κλειδί (Pre-Shared Key): Κατά τη διαδικασία σύζευξης, οι συσκευές ανταλλάσσουν ένα προ-κοινόχρηστο κλειδί. Αυτό το κλειδί χρησιμοποιείται για την αυθεντικοποίηση και την κρυπτογράφηση των δεδομένων, προσθέτοντας επίπεδο ασφαλείας.
Καταστάσεις Ασφάλειας Bluetooth: Υπάρχουν τρεις καταστάσεις ασφάλειας για το Bluetooth.
Κατάσταση 1: Δεν υπάρχει ενεργή ασφάλεια. Κατάσταση 2: Ασφάλεια επιπέδου υπηρεσίας, όπου ο κεντρικός διαχειριστής ασφαλείας χειρίζεται την ταυτοποίηση, τη διαμόρφωση και την εξουσιοδότηση. Κατάσταση 3: Ασφάλεια επιπέδου συσκευής, με ταυτοποίηση και κρυπτογράφηση βασισμένη σε μυστικό κλειδί. Επαλήθευση Συσκευών (Device Authentication): Κατά τη διαδικασία σύζευξης, οι χρήστες συνήθως πρέπει να επιβεβαιώσουν τη σύνδεσή τους με τη συσκευή ή να επιτρέπουν τη σύνδεση μόνο σε εξουσιοδοτημένες συσκευές.
Ενεργοποίηση Ασφαλούς Σύνδεσης (Secure Connections): Η πρόσφατη έκδοση του πρωτοκόλλου Bluetooth περιλαμβάνει τη δυνατότητα των ασφαλών συνδέσεων, προσφέροντας προηγμένη ασφάλεια κατά τη διάρκεια της σύνδεσης.
Η τεχνολογία Bluetooth συνεχίζει να εξελίσσεται για να ανταποκρίνεται στις σύγχρονες απαιτήσεις ασφαλούς ασύρματης επικοινωνίας.
Επιπλέον πληροφορίες σχετικά με την ασφάλεια Bluetooth περιλαμβάνουν:
Αποφυγή Ορατότητας (Invisibility): Ορισμένες συσκευές Bluetooth μπορούν να ρυθμίζονται ώστε να μην είναι ορατές για άλλες συσκευές. Αυτό περιορίζει την ευκαιρία για επιθέσεις από ανεπιθύμητους χρήστες.
Ενημερώσεις Λογισμικού: Η εγκατάσταση των πιο πρόσφατων ενημερώσεων λογισμικού για τις συσκευές Bluetooth είναι σημαντική για την αντιμετώπιση τυχόν αδυναμιών ασφαλείας και για τη βελτίωση της γενικής ασφάλειας.
Ελέγχος Ονομάτων Συσκευών: Η αλλαγή του ονόματος της συσκευής μπορεί να προσθέσει επιπλέον επίπεδο ασφαλείας, καθώς δυσκολεύει την αναγνώριση της συσκευής από τρίτους.
Προστασία PIN και Κωδικών Πρόσβασης: Οι χρήστες μπορούν να εφαρμόσουν κωδικούς πρόσβασης ή PIN κατά τη σύζευξη για επιπρόσθετη προστασία. Αυτοί οι κωδικοί πρέπει να είναι γνωστοί μόνο στους εξουσιοδοτημένους χρήστες.
Ασφαλές Συνδεδεμένο Περιβάλλον (Secure Pairing): Η διαδικασία του ασφαλούς συνδέσμου προσφέρει επιπλέον ασφάλεια κατά τη διάρκεια της σύνδεσης μεταξύ συσκευών.
Καταγραφή Δραστηριότητας (Activity Logging): Ορισμένες συσκευές Bluetooth διαθέτουν λειτουργίες καταγραφής δραστηριότητας, οι οποίες μπορούν να χρησιμοποιηθούν για τον έλεγχο τυχόν ανεπιθύμητης πρόσβασης ή δραστηριότητας.
Εργαλεία Χάκινγκ Bluetooth στο Kali
Το Kali είχε κάποτε πολλά εργαλεία χάκινγκ Bluetooth ενσωματωμένα. Στο Kali 2020, μειώθηκαν σε ένα μόνο, το spooftooth. Αυτό δεν σημαίνει ότι δεν υπάρχουν άλλα. Υπάρχουν αρκετά και στο github.com. Θα χρησιμοποιήσουμε πολλά από αυτά σε μελλοντικούς οδηγούς.
Ας ρίξουμε μια σύντομη ματιά σε μερικά άλλα εργαλεία χάκινγκ Bluetooth.
Bluelog: Ένα εργαλείο έρευνας τοποθεσίας Bluetooth. Σαρώνει την περιοχή για εντοπισμό όσων περισσότερων ανακαλύψιμων συσκευών υπάρχουν και καταγράφει τα αποτελέσματα σε ένα αρχείο.
Bluemaho: Ένα σύνολο εργαλείων με γραφικό περιβάλλον για τον έλεγχο της ασφάλειας των συσκευών Bluetooth.
Blueranger: Ένα απλό σενάριο Python που χρησιμοποιεί i2cap pings για να εντοπίσει συσκευές Bluetooth και να προσδιορίσει τις περίπου αποστάσεις τους.
Btscanner: Αυτό το εργαλείο με γραφικό περιβάλλον σαρώνει για ανακαλύψιμες συσκευές εντός εμβέλειας.
Redfang: Αυτό το εργαλείο μας επιτρέπει να βρούμε κρυφές συσκευές Bluetooth.
Spooftooph: Ένα εργαλείο πλαστογράφησης Bluetooth. Μερικές Επιθέσεις Bluetooth
Blueprinting: Η διαδικασία του footprinting.
Bluesnarfing: Αυτή η επίθεση αποσπά δεδομένα από τη συσκευή με δυνατότητα Bluetooth. Αυτά μπορεί να περιλαμβάνουν μηνύματα SMS, πληροφορίες ημερολογίου, εικόνες, το βιβλίο τηλεφώνου και συνομιλίες.
Bluebugging: Ο επιτιθέμενος μπορεί να αναλάβει τον έλεγχο του τηλεφώνου του θύματος. Το Bloover αναπτύχθηκε ως εργαλείο απόδειξης της έννοιας.
Bluejacking: Ο επιτιθέμενος στέλνει μια “επαγγελματική κάρτα” (μήνυμα κειμένου) που, αν ο χρήστης επιτρέψει να προστεθεί στη λίστα επαφών του, επιτρέπει στον επιτιθέμενο να συνεχίσει να στέλνει επιπλέον μηνύματα.
Bluesmack: Επίθεση DoS κατά των συσκευών Bluetooth.
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Πρίγκιπας Χάρι: Νίκη στο Δικαστήριο κατά της Mirror Group για Υποκλοπή Τηλεφώνου
Η αστυνομία του Λονδίνου δήλωσε ότι θα “εξετάσει προσεκτικά” τα ευρήματα μιας δικαστικής απόφασης που κατέληξε στο συμπέρασμα ότι ο Πρίγκιπας Χάρι ήταν θύμα υποκλοπής τηλεφώνου και άλλων παράνομων πράξεων από δημοσιογράφους της Mirror Group με τη γνώση των συντακτών τους.
Ο νεότερος γιος του Βασιλιά Κάρολου, που έγινε ο πρώτος υψηλόβαθμος βρετανικός βασιλικός μετά από 130 χρόνια που παρευρίσκεται ως μάρτυρας σε δικαστήριο, ανταμείφθηκε με 140.600 λίρες (178.000 δολάρια) την Παρασκευή, μετά τη συμφωνία του δικαστή ότι είχε πέσει θύμα δημοσιογράφων που εργάζονταν για την Mirror Group Newspapers.
Μια εκπρόσωπος της αστυνομίας του Λονδίνου δήλωσε ότι θα “εξετάσει προσεκτικά” την απόφαση στην αστική υπόθεση, προσθέτοντας: “Δεν υπάρχει ενεργή έρευνα.”
Αφότου αποχώρησε από τα βασιλικά καθήκοντα το 2020 και μετακόμισε στην Καλιφόρνια με την αμερικανίδα σύζυγό του Μέγκαν, ο Δούκας του Σάσεξ έχει καθιερώσει ως αποστολή του να απαλλάξει το βρετανικό τύπο από αυτούς που κατηγορεί ως “εγκληματίες που προσποιούνται δημοσιογράφους”, ειδικά υψηλόβαθμους εκτελεστικούς και συντάκτες.
Η απόφαση του δικαστηρίου ανέφερε ότι ανάμεσα στους συντάκτες που γνώριζαν για τη “εκτεταμένη” παράνομη συμπεριφορά ήταν ο γνωστός δημοσιογράφος Piers Morgan, συντάκτης της Daily Mirror από το 1996 έως το 2004, ο οποίος έχει γίνει ένθερμος κριτικός του Χάρι και της Μέγκαν.
Ο Morgan αρνήθηκε επί μακρόν ότι γνώριζε για την υποκλοπή τηλεφώνου κατά τη διάρκεια της θητείας του ως συντάκτης.
(Σημείωση: Οι συναλλαγματικές ισοτιμίες αναφέρονται στο κείμενο με το σύμβολο $1 = 0,7890 λίρες.)
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Οι ερευνητές κυβερνοασφάλειας της εταιρείας ασφάλειας επιχειρήσεων Proofpoint ανακάλυψαν ένα τρομακτικό νέο κακόβουλο λογισμικό που διανέμεται ως πακέτο εγκατάστασης του δημοφιλούς διαχειριστή κωδικών πρόσβασης Bitwarden για να εξαπατήσει τους χρήστες και να κλέψει ευαίσθητα δεδομένα από τις συσκευές τους.
Αυτό το ψεύτικο πακέτο εγκατάστασης, με την ονομασία ZenRAT, παραδίδεται μέσω ενός ψεύτικου ιστότοπου Bitwarden, ο οποίος μοιάζει ακριβώς με τον αρχικό, αλλά δεν είναι νόμιμος. Αν ένας χρήστης δώσει προσοχή, είναι εύκολο να αντιληφθεί ότι οι χειριστές του κακόβουλου λογισμικού έχουν χρησιμοποιήσει την τεχνική typosquatting, επειδή ο ψεύτικος ιστότοπος έχει τίτλο bitwaridencom.
Οι κύριοι στόχοι του ZenRAT είναι ανυποψίαστοι χρήστες των Windows. Εάν ένας επισκέπτης κάνει κλικ στο σύνδεσμο λήψης που είναι σημειωμένος για άλλη πλατφόρμα (π.χ. Linux ή macOS), ανακατευθύνεται στον αρχικό ιστότοπο της Bitwarden (vault.bitwarden.com) στη σελίδα Λήψεις. Εάν ένας χρήστης των Windows κάνει κλικ σε αυτόν, η συσκευή του θα μολυνθεί με το ZenRAT και το κακόβουλο λογισμικό θα δημιουργήσει μια σύνδεση με τον διακομιστή C2 (185.186.7214).
Μόλις γίνει αυτό, το κακόβουλο λογισμικό θα συλλέξει τα επιθυμητά δεδομένα, συμπεριλαμβανομένων των λεπτομερειών του συστήματος και των αποθηκευμένων διαπιστευτηρίων. Το ZenRAT μπορεί να κλέψει πληροφορίες όπως τα ονόματα της CPU και της GPU, την έκδοση του λειτουργικού συστήματος, τη μνήμη RAM, τη διεύθυνση IP και την πύλη της συσκευής. Θα αποσπάσει επίσης πληροφορίες σχετικά με τις εγκατεστημένες λύσεις antivirus και άλλες εφαρμογές. Μπορεί επίσης να κλέψει δεδομένα και κωδικούς πρόσβασης του προγράμματος περιήγησης. Το ZenRAT διαβιβάζει τα αρχεία καταγραφής στον διακομιστή C2 σε απλό κείμενο.
Επαναπροσανατολίζει τους επισκέπτες του ιστότοπου σε έναν καλοήθη ιστότοπο. Ωστόσο, οι ερευνητές δεν διευκρίνισαν πώς ανακατευθύνονται οι επισκέπτες στον ιστότοπο. Προηγουμένως, το κακόβουλο λογισμικό διανεμόταν σε τέτοιες εκστρατείες μέσω phishing, SEO poisoning ή επιθέσεων malvertising. Το ωφέλιμο φορτίο φέρει τον τίτλο Bitwarden-installer-version-2023-7-1.exe και κατεβαίνει μέσω του crazygamescom. Αυτή η δούρειος ίππος έκδοση του νόμιμου εγκαταστάτη Bitwarden περιέχει ένα εκτελέσιμο αρχείο .NET με τίτλο (ApplicationRuntimeMonitor.exe).
Σύμφωνα με την ανάρτηση στο blog της Proofpoint, όταν οι ερευνητές εξέτασαν τα μεταδεδομένα του κακόβουλου πακέτου εγκατάστασης, παρατήρησαν ότι ο επιτιθέμενος το είχε μεταμφιέσει σε Speccy της Priform. Πρόκειται για ένα δωρεάν βοηθητικό πρόγραμμα των Windows που εμφανίζει πληροφορίες σχετικές με το υλικό/λογισμικό.
Επιπλέον, το εκτελέσιμο αρχείο έχει μια άκυρη υπογραφή που φαίνεται να υπογράφεται από τον διάσημο Γερμανό επιστήμονα πληροφορικής FileZilla Tim Kosse. Ωστόσο, αυτή η υπογραφή είναι επίσης ψεύτικη. Αυτό το σπονδυλωτό RAT εκτελεί επίσης ελέγχους anti-sandbox και anti-VM για να διαπιστώσει αν είναι ασφαλές να λειτουργεί στη συσκευή. Οι έλεγχοι περιλαμβάνουν επίσης geofencing για να διασφαλιστεί ότι δεν έχει εγκατασταθεί σε καμία ρωσόφωνη περιοχή.
Προσοχή κατά τη χρήση ενός διαχειριστή κωδικών πρόσβασης
Οι ερευνητές συμβουλεύουν τους χρήστες να είναι προσεκτικοί κατά τη λήψη λογισμικού και συνιστούν να προμηθεύονται εφαρμογές αποκλειστικά από επίσημες πηγές. Αξίζει να σημειωθεί ότι οι διαχειριστές κωδικών πρόσβασης έχουν γίνει συχνά στόχος κυβερνοεπιθέσεων και απάτης, με το LastPass να αποτελεί ένα αξιοσημείωτο παράδειγμα.
Ως ασφαλέστερη εναλλακτική λύση, τα τρία κορυφαία προγράμματα περιήγησης – Google Chrome, Mozilla Firefox και Safari – προσφέρουν δωρεάν λειτουργίες διαχείρισης κωδικών πρόσβασης. Αν δεν είστε σίγουροι για το ποια υπηρεσία να χρησιμοποιήσετε, οποιαδήποτε από αυτές τις τρεις επιλογές θα σας προσφέρει παρόμοια οφέλη και, σε ορισμένες περιπτώσεις, μπορεί να είναι πιο ασφαλής από άλλες.
