Proofpointはこのほど、「ZenRAT: Malware Brings More Chaos Than Calm |Proofpoint US」において、パスワードマネージャ「Bitwarden」の偽のインストールパッケージを介してマルウェア「ZenRAT」が配布されているとして、注意を呼び掛けた。本稿執筆時点ではこのパッケージがどのように配布されているかはわかっていないとしている。
-
ZenRAT: Malware Brings More Chaos Than Calm |Proofpoint US
Proofpointによると、ZenRATは主にWindowsユーザーを標的とした情報窃取機能を備えたモジュール型のトロイの木馬とされる。このパッケージはBitwardenの関連サイトを装ったWebサイト「bitwariden[.].com」で発見されたという。
このパッケージには悪意のある.NET実行ファイルが含まれており、これがマルウェア「ZenRAT」とされる。このWebサイトはWindows環境からアクセスした場合のみ表示され、ほかのオペレーティングシステム環境からは表示されないことから、主にWindowsユーザーを標的としているとみられている。
-
![偽のパッケージを配布するWebサイト「bitwariden[.].com」 - 提供:Proofpoint](images/002.jpg)
偽のパッケージを配布するWebサイト「bitwariden[.].com」 引用:Proofpoint
![偽のパッケージを配布するWebサイト「bitwariden[.].com」 - 提供:Proofpoint](/techplus/photo/article/20231001-2781149/images/002l.jpg)
ダウンロードしたパッケージをインストールしようとすると、ZenRATがインストール、実行される。ZenRATはシステム情報、ブラウザの認証情報を収集し、コマンド&コントロール(C2: Command and Control)サーバへ送信して窃取する。その後コマンド&コントロールサーバとの接続を確立してサーバからの指示を待つ機能があるとされる。
Proofpointはこのような脅威からシステムを保護するため、信頼できる正規サイトからのみソフトウェアをダウンロードし、ダウンロードする際は必ずアクセスしているアドレスと公式Webサイトのドメインが同一であることを確認することを推奨している。また、検索エンジンに表示される偽の広告にも注意するよう呼びかけている。
ProofpointはZenRATのセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、このような脅威からシステムを保護するために活用することが望まれている。
Oracleから600万件の顧客情報流出の可能性、Oracleは否定も流出データ確認
