Detectado un nuevo malware que suplanta la identidad del gestor de contraseñas Bitwarden

ZenRAT se detectó inicialmente en una web que fingía ser un sitio oficial de descarga del gestor de contraseñas. El paquete de instalación estándar descargado de esta web incluye un ejecutable .NET malicioso que instala el malware. Según Proofpoint, el sitio web sólo muestra la descarga falsa de Bitwarden si el usuario accede a través de un host Windows.

Sin embargo, si un usuario con un sistema operativo diferente a Windows accede a este dominio, la página cambia a algo totalmente diferente. La web se hace pasar por una página legítima “opensource.com”, llegando incluso a clonar un artículo sobre Bitwarden escrito por Scott Nesbitt y publicado realmente en dicha web. Si los usuarios de Windows hacen clic en los enlaces de descarga para Linux o MacOS en la página de descargas, son redirigidos al sitio legítimo de Bitwarden (vault.bitwarden.com); mientras que dando directamente al botón de descargar o al instalador de escritorio para Windows, se intenta descargar la payload (Bitwarden-Installer-version-2023-7-1.exe).

El equipo de investigación de la compañía de seguridad señala que “es habitual que se distribuyan programas maliciosos a través de archivos que se hacen pasar por instaladores de aplicaciones legítimas. De momento, desconocemos cómo se distribuye este malware en concreto, pero normalmente son entregados a través de SEO Poisoning, paquetes de adware, o por correo electrónico”.

Proofpoint recomienda a los usuarios finales descargar software únicamente de fuentes de confianza y comprobar siempre que los dominios que alojan las descargas pertenecen al sitio web oficial. También hay que tener cuidado con los anuncios en los resultados de los motores de búsqueda, ya que es uno de los principales impulsores de infecciones de este tipo, especialmente en el último año.