Falsi siti di Bitwarden stanno spingendo i programmi di installazione di un password manager open source contenente il nuovo malware ZenRAT che ruba le password.
La distribuzione del malware prende di mira gli utenti Windows. E avviene attraverso siti web che imitano il sito legittimo di Bitwarden. La tecnica si basa sul typosquatting per ingannare le potenziali vittime.
“L’attacco è un caso che utilizza tecniche già ben note, anche se, probabilmente, questa volta lo fa con un livello di sofisticatezza maggiore”, commenta Giorgio Sbaraglia,
consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Tutto parte da un typosquatting riconoscibile con un minimo di attenzione. Quella che dovremmo sempre avere quando frequentiamo il web”.
Infatti, “ci troviamo dinanzi uno schema di attacco consolidato”, conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “falsi siti relativi a un software come il popolare Bitwarden Password Manager che cercano di ingannare gli utenti con tecniche di typosquatting. Ovvero siti che differiscono dai legittimi a meno di errori di battitura all’interno di nomi di dominio utilizzati dai software ufficiali”.
“Il caso Bitwarden è esemplare, confermando che tra i principali vettori di attacco rientrano lo sfruttamento delle debolezze facenti capo al cosiddetto ‘fattore umano’ e il ricorso agli infostealer”, avverte Enrico Morisi, ICT Security Manager.
Indice degli argomenti
Malware ZenRAT: allarme furto password
Gli utenti Windows sono nel mirino del malware. Lo scopo di ZenRAT è infatti la raccolta di dati oltre alle credenziali del browser insieme a dettagli sull’host infetto, un comportamento coerente con un furto di informazioni.
“Il focus sui soli host dotati di sistema operativo Windows, per la sua indiscutibile ampia diffusione e forse anche per l’essere notoriamente riconosciuto come alla portata (solo apparentemente) di utenti meno esperti”, continua Morisi, “rappresenta probabilmente un target privilegiato, in ottica di massimizzazione del risultato”.
I criminali informatici possono sfruttare i dettagli per creare un’impronta digitale del sistema compromesso da utilizzare per l’accesso a un account come se l’utente legittimo lo avesse effettuato.
I ricercatori della società di sicurezza informatica Proofpoint hanno scoperto ZenRAT dopo aver ricevuto in agosto un campione del malware da Jérôme Segura, Senior Director of Threat Intelligence di Malwarebytes.
Il punto di consegna era “un’imitazione molto convincente del vero bitwarden.com”. Un sosia con un nome di dominio scelto appositamente per ingannare i visitatori e far loro credere che stessero accedendo alla risorsa ufficiale – bitwariden[.]com.
“Un’eventuale campagna di phishing, l’uso della tecnica typosquatting di domini accuratamente selezionati e la distribuzione di un malware per il furto di dati e credenziali, rappresentano gli ingredienti di una ricetta classica di attacco”, sottolinea Enrico Morisi: “La creazione di due fake URL, uno anche per l’effettivo download del RAT, la scelta accurata del target, ovvero end point con sistema operativo Windows, la verifica di eventuali misure di sandboxing, il prevedere opportuni metadati e la firma digitale (anche se non valida) per il malware, la sua modularità e scalabilità, le connotazioni di carattere ‘geopolitico’, sono tutti aspetti che denotano un evidente livello di sofisticazione”.
Lo schema d’attacco
All’interno del pacchetto fasullo di installazione di Bitwarden, i ricercatori di Proofpoint hanno scoperto un eseguibile .NET dannoso: un trojan ad accesso remoto (RAT) con funzionalità di furto di informazioni che ora stanno rintracciando come ZenRAT.
Il sito web malevolo offre il falso pacchetto Bitwarden solo agli utenti Windows. Altrimenti reindirizza a una pagina clonata di un articolo di opensource.com sul password manager.
“Una volta che la vittima ha abboccato al typosquatting”, infatti, prosegue Sbaraglia, “la tecnica d’attacco diventa abbastanza raffinata e per questo potrebbe avere buone probabilità di successo. Quando va in esecuzione, ZenRAT si comporta come un classico infostealer, che ruba informazioni dal dispositivo violato. Ma, pur avendo i comportamenti tipici dell’infostealer, Proofpoint ha trovato prove che suggeriscono che il malware ZenRAT è progettato per essere modulare e potrebbe compiere anche altre attività, anche se ad oggi queste non sono state rilevate”.
Quando si cerca di effettuare il download della versione di Bitwarden per Linux o Mac, l’utente viene reindirizzato alla pagina di download ufficiale del software, secondo Proofpoint.
Crazygameis[.]com, un altro URL falso per la piattaforma di gioco legittima basata su browser CrazyGames, fornisce il programma di installazione malevolo di Bitwarden per Windows.
“Questa metodica”, spiega Paganini, “consente agli attaccanti di diffondere codici malevoli in grado di collezionare ed esfiltrare informazioni dai sistemi delle vittime.
Software come ZenRAT consentono di rubare credenziali ed altre informazioni sensibili che possono essere utilizzate per successivi attacchi o rivenduti nell’underground criminale“.
I dettagli
Una volta in esecuzione, ZenRAT utilizza le query WMI e altri strumenti di sistema per raccogliere dati sull’host, tra cui: nome della CPU, quello della GPU, la versione del sistema operativo, RAM installata, l’indirizzo IP e Gateway, l’antivirus installato, le applicazioni installate.
La consegna di questi dettagli avviene al server di comando e controllo (C2) in un archivio ZIP che comprende anche i dati e le credenziali raccolte dal browser web. Prima di comunicare con il C2, tuttavia, ZenRAT si assicura che l’host non si trovi in una regione soggetta a restrizioni (Bielorussia, Kirghizistan, Kazakistan, Moldavia, Russia e Ucraina).
Il malware controlla anche se è in esecuzione in una macchina virtuale o in una sandbox, indizio che dimostra che i ricercatori lo stanno analizzando. Tuttavia, i ricercatori hanno anche scoperto alcune informazioni nei metadati del programma di installazione. Per esempio la dichiarazione di essere l’applicazione di informazioni sull’hardware Speccy di Piriform.
Un’altra particolarità è rappresentata dai dati relativi al firmatario del programma di installazione. Sebbene il certificato digitale non sia valido, il programma di installazione di ZenRAT riporta come firmatario Tim Kosse, lo sviluppatore del software open-source FileZilla FTP.
Nonostante le funzioni specifiche di un furto di informazioni, Proofpoint ha trovato prove che suggeriscono che il malware è progettato per essere modulare e le sue capacità sono espandibili.
Tuttavia non si osservano altri moduli. Il gestore di password Bitwarden ha accresciuto la sua popolarità negli ultimi tempi, in qualità di alternativa migliore rispetto ad altri prodotti presenti sul mercato. Con una base di utenti in crescita, il software e i suoi utenti sono diventati un bersaglio di cui i cyber criminali si approfittano.
“L’aver preso di mira il dominio di secondo livello di Bitwarden è certamente riconducibile alla crescente popolarità del noto password manager”, mette in evidenza Morisi, “verosimilmente aumentata anche a seguito del security incident che, l’hanno scorso, ha coinvolto un suo popolare concorrente”. “Ma non deve indurre all’infausta scelta di abbandonare l’utilizzo dei password manager stessi”, mette in guardia Morisi, “che probabilmente, se accuratamente scelti e correttamente configurati e usati, rappresentano la soluzione di miglior compromesso per la gestione delle innumerevoli credenziali di accesso di cui ognuno di noi oggi dispone“.
Infatti “questo attacco nulla ha che fare con la qualità di Bitwarden, che oggi rappresenta a mio parere uno dei migliori password manager presenti sul mercato, oltretutto utilizzabile molto bene anche nella sola versione gratuita”, conferma Sbaraglia: “E proprio perché Bitwarden ha acquisito molta popolarità negli ultimi anni, questo lo rende un bersaglio interessante ed appetibile per i criminali informatici”.
Come proteggersi dal malware ZenRAT
Per proteggersi dal typosquatting e quindi dall’infezione via malware ZenRAT, occorre evitare di scaricare programmi dai siti o dai marketplace non ufficiali.
“L’attacco in analisi non rappresenta una novità nel panorama delle minacce”, conclude Paganini, “ma è l’ennesimo caso studio di cui far tesoro per individuare ed evitare minacce di cui abbiamo informazioni sufficienti alla loro mitigazione”.
Servono inoltre più consapevolezza e formazione. “La salvaguardia principe e, per così dire, ultima rimane quella attuata dalle persone che, in definitiva, devono essere consapevoli ed estremamente attente, soprattutto ai dettagli”, conclude Morisi, “del resto, la sicurezza è essenzialmente una questione di dettagli”.
Un programma security awareness, in grado di formare l’intera forza lavoro, consente di svolgere simulazioni di phishing e campagne efficaci di sensibilizzazione alla sicurezza. “Se – ancora oggi – un utente ‘abbocca’ ad un link del genere”, avverte Sbaraglia, “possiamo solo ribadire quanto siano importante la formazione e la consapevolezza”.
Infine, una strategia Zero Trust, ben definita e articolata lungo tutta l’organizzazione, rende più resilienti le aziende italiane, per focalizzare i propri sforzi in: segnalazione di vulnerabilità, analisi dei rischi, valutazione e controllo delle strategie di cyber security e definizione di piani di gestione delle crisi per assicurare la continuità aziendale.
Per prevenire il typosquatting
Contro il typosquatting, secondo Morisi, “esistono delle contromisure che possono essere adottate sia dalle organizzazioni sia dai singoli individui:
- la registrazione del maggior numero di typo-domain, su più TLD, ricorrendo anche a servizi come quello offerto da ICANN stessa, al fine di potersi tutelare durante il cosiddetto sunrise period;
- la pronta attivazione dei processi di “take down” dei domini fake;
- l’adozione di servizi di Threat Intelligence; il ricorso ai cosiddetti “preferiti”, preventivamente controllati;
- la verifica che i protocolli di comunicazione usati siano protetti da certificati TLS;
- l’uso di opportune soluzioni tecnologiche per la navigazione in “sicurezza”;
- la corretta configurazione dei browser, tesa anche a sfruttarne le funzionalità orientate alla sicurezza”.
