Proofpoint, dedicada a la ciberseguridad y cumplimiento normativo, ha identificado un malware reciente denominado ZenRAT que se disemina a través de paquetes de instalación falsos del gestor de contraseñas Bitwarden diseñados para Windows. ZenRAT, un troyano de acceso remoto (RAT) modular, tiene la capacidad de extraer información privada.
Cambio de interfaz y engaño visual
La detección inicial de este malware se produjo en un sitio web que simula ser una fuente oficial para descargar el gestor de contraseñas. El paquete de instalación estándar descargado de este sitio incluye un ejecutable .NET malicioso que instala ZenRAT. Es fundamental destacar que este sitio web solo muestra la falsa descarga de Bitwarden cuando el usuario accede desde un host con Windows.
Los usuarios con sistemas operativos diferentes a Windows que acceden a este dominio son recibidos por una página completamente diferente. Esta página se hace pasar por «opensource.com», incluso clonando un artículo sobre Bitwarden escrito por Scott Nesbitt y realmente publicado en el sitio legítimo. Si los usuarios de Windows hacen clic en enlaces de descarga para Linux o MacOS, son redirigidos al sitio auténtico de Bitwarden (vault.bitwarden.com). Al presionar el botón de descarga o el instalador de escritorio para Windows, se intenta descargar la carga útil (Bitwarden-Installer-versión-2023-7-1.exe).
El equipo de investigación de Proofpoint señaló:
Es habitual que se distribuyan programas maliciosos a través de archivos que se hacen pasar por instaladores de aplicaciones legítimas. De momento, desconocemos cómo se distribuye este malware en concreto, pero normalmente son entregados a través de SEO Poisoning, paquetes de adware, o por correo electrónico.
Recomendaciones para la Seguridad en Línea
Proofpoint aconseja a los usuarios finales que descarguen software exclusivamente de fuentes confiables y siempre verifiquen que los dominios que albergan las descargas pertenezcan al sitio web oficial. Asimismo, se debe tener precaución con los anuncios en los resultados de los motores de búsqueda, ya que han sido uno de los principales impulsores de infecciones de este tipo, especialmente durante el último año.
Esta advertencia tiene como objetivo informar a los usuarios sobre la amenaza emergente de ZenRAT y promover prácticas de seguridad sólidas en línea. Mantenerse informado y tomar precauciones adecuadas es esencial en el entorno digital actual.
¿Qué medidas consideras esenciales para proteger tu información ante amenazas como ZenRAT?