如果您最近安装了Bitwarden密码管理器，请确保您是从其官方网站下载的，而不是从欺诈性恶意来源下载的。

企业安全公司Proofpoint的网络安全研究人员发现了一种令人毛骨悚然的新恶意软件，它作为流行密码管理器Bitwarden的安装包分发，可以欺骗用户并窃取其设备中的敏感数据。

这个名为ZenRAT的伪造安装包是通过假冒的Bitwarden网站提供的，该网站看起来与原始网站一模一样，但并不合法。如果用户注意的话，很容易发现恶意软件操作者使用了拼写错误技术，因为该假冒网站的标题为bitwaridencom。

ZenRAT的主要目标是毫无戒心的Windows用户。如果访问者单击标记为其他平台（例如Linux或macOS）的可下载链接，他们将被重定向到下载页面上的原始Bitwarden网站(vault.bitwarden.com)。如果Windows用户点击它，他们的设备将被ZenRAT感染，并且恶意软件将与其C2服务器(185.186.7214)建立连接。

完成此操作后，恶意软件将收集所需的数据，包括系统详细信息和存储的凭据。ZenRAT可以窃取CPU和GPU名称、操作系统版本、RAM、IP地址和设备网关等信息。它还会提取有关已安装的防病毒解决方案和其他应用程序的信息。它还可以窃取浏览器数据和密码。ZenRAT将日志以明文形式传输到C2服务器。

它将网站访问者重定向到良性网站。然而，研究人员没有具体说明访问者如何被重定向到该网站。此前，恶意软件通过网络钓鱼、SEO中毒或恶意广告攻击在此类活动中传播。有效负载的标题为Bitwarden-installer-version-2023-7-1.exe，并通过crazygamescom下载。这个木马版本的合法Bitwarden安装程序包含一个名为(ApplicationRuntimeMonitor.exe)的.NET可执行文件。

根据Proofpoint的博客文章，当研究人员检查恶意安装程序包的元数据时，他们发现攻击者将其伪装成Priform的Speccy。它是一个免费的Windows实用程序，可显示硬件​​/软件相关信息。

此外，该可执行文件具有无效签名，该签名似乎是由FileZilla著名的德国计算机科学家Tim Kosse签署的。然而，这个签名也是假的。该模块化RAT还运行反沙箱和反虚拟机检查，以确定在设备上操作是否安全。检查还包括地理围栏，以确保它没有安装在任何俄语地区。

研究人员强烈建议用户在下载软件时要小心谨慎，并建议仅从官方来源获取应用程序。值得注意的是，密码管理器经常成为网络攻击和诈骗的目标，LastPass就是一个显着的例子。

作为更安全的替代方案，排名前三的浏览器（Google Chrome、Mozilla Firefox和Safari）提供免费的密码管理器功能。如果您不确定要使用哪个服务，这三个选项中的任何一个都会提供类似的好处，并且在某些情况下可能比其他选项更安全。