Egy új jelszólopó káros programot fedeztek fel, amelynek terjesztéséhez a kiberbűnözők a népszerű nyílt-forráskódú jelszókezelő, a Bitwarden népszerűségét igyekeztek kihasználni.
A rosszindulatú szoftvert a kiberbűnözők kifejezetten Windows-felhasználók ellen vetették be a Bitwarden hivatalos weboldalát utánzó káros weboldalakon keresztül. A hackerek az úgynevezett typosquatting technikát is alkalmazták, hogy minél több felhasználót tévesszenek meg.
A typosquatting (URL-eltérítés) egy olyan kiberbűnözők által használt gyakori technika, amely során a csalók az oldal címét (domain nevet) szándékosan egy népszerű, nagy látogatottságú weboldaléhoz nagyon hasonló címmel látják el. Ez általában csupán 1-2 karakter különbséget jelent, ami sokakat meg tud téveszteni. Ehhez gyakran társul, hogy nem csak az URL címét, de a hamis weboldal felépítését és kinézetét is az eredeti honlap szerint építik fel.
A hamis weboldal külalakja és webcíme is igen megtévesztő volt: “bitwariden[.]com”, mivel az eredeti címtől (a bitwarden[.]com), csak egy karakterrel tér el.
A ZenRAT káros kód célja, hogy a böngészőben található hitelesítő adatokat, illetve a megfertőzött számítógép specifikációit észrevétlenül összegyűjtse, majd ezeket az információkat továbbítsa a csalóknak. A fentebbi technika nagyon veszélyes, és sokáig észrevétlen is tud maradni, mivel a csalók az eredeti hitelesítő adatokat használják fel a különböző fiókokba való bejelentkezés során.
A ZenRAT terjesztéséről nincsenek pontos infromációk, azonban a legvalószínűbb, hogy azt e-mailben, káros hirdetésekben, illetve a Google keresési találatok manipulálásával (SEO poisoning) végezték a kiberbűnözők.
