Detectado por Proofpoint, ZenRAT es un troyano de acceso remoto (RAT) modular con capacidad para robar información que se distribuye a través de falsos paquetes de instalación del gestor de contraseñas Bitwarden para Windows.
Este malware se detectó inicialmente en una web que fingía ser un sitio oficial de descarga del gestor de contraseñas. El paquete de instalación estándar descargado de esta web incluye un ejecutable .NET malicioso que instala ZenRAT. Es importante destacar que el sitio web sólo muestra la descarga falsa de Bitwarden si el usuario accede a través de un host Windows.
Sin embargo, si un usuario con un sistema operativo diferente a Windows accede a este dominio, la página cambia a algo totalmente diferente. La web se hace pasar por una página legítima “opensource.com”, llegando incluso a clonar un artículo sobre Bitwarden escrito por Scott Nesbitt y publicado realmente en dicha web. Si los usuarios de Windows hacen clic en los enlaces de descarga para Linux o MacOS en la página de descargas, son redirigidos al sitio legítimo de Bitwarden (vault.bitwarden.com); mientras que dando directamente al botón de descargar o al instalador de escritorio para Windows, se intenta descargar la payload (Bitwarden-Installer-version-2023-7-1.exe).
“Es habitual que se distribuyan programas maliciosos a través de archivos que se hacen pasar por instaladores de aplicaciones legítimas”, avisan desde el equipo de investigación de Proofpoint. “De momento, desconocemos cómo se distribuye este malware en concreto, pero normalmente son entregados a través de SEO Poisoning, paquetes de adware, o por correo electrónico”.
Proofpoint recomienda a los usuarios finales descargar software únicamente de fuentes de confianza y comprobar siempre que los dominios que alojan las descargas pertenecen al sitio web oficial. También hay que tener cuidado con los anuncios en los resultados de los motores de búsqueda, ya que es uno de los principales impulsores de infecciones de este tipo, especialmente en el último año.