حددت Proofpoint برنامجًا ضارًا جديدًا يستهدف مستخدمي ويندوز على وجه التحديد يسمى ZenRAT (وهو عبارة عن حصان طروادة RAT يتمتع بقدرات سرقة المعلومات) والذي يتم توزيعه عبر حزم التثبيت المزيفة لمدير كلمات المرور Bitwarden.

تم اكتشاف عينة البرامج الضارة هذه -التي تم توزيعها كجزء من حزمة تثبيت برامج ويندوز- في البداية على موقع ويب يتظاهر بأنه مرتبط بـ Bitwarden، bitwariden[.]com، وهو مشابه جدًا لموقع bitwarden.com الحقيقي. تأتي حزمة تثبيت Bitwarden القياسية ضمن حزمة .NET الخبيثة القابلة للتنفيذ والتي أطلقن عليها اسم "ZenRAT".

يعرض موقع الويب الضار تنزيل Bitwarden المزيف فقط إذا قام المستخدم بالوصول إليه عبر مضيف Windows. إذا حاول مستخدم لا يعمل بنظام Windows الانتقال إلى هذا المجال، فستتغير الصفحة إلى شيء مختلف تمامًا.

في الوقت الحالي، من غير المعروف كيف يتم توزيع البرامج الضارة، ولكن الأنشطة التاريخية التي تنكرت على أنها مثبتات برامج مزيفة تم تسليمها عبر SEO Poisoning أو حزم البرامج الإعلانية أو عبر البريد الإلكتروني.

غالبًا ما يتم تسليم البرامج الضارة عبر ملفات تتنكر كمثبتات تطبيقات شرعية، وعليه؛ يجب على المستخدمين النهائيين الانتباه إلى تنزيل البرامج مباشرة من المصدر الموثوق به فقط، والتحقق دائمًا من النطاقات التي تستضيف تنزيلات البرامج مقابل النطاقات التابعة للموقع الرسمي. ويجب على الأشخاص أيضًا توخي الحذر من الإعلانات في نتائج محركات البحث، حيث يبدو أن ذلك هو المحرك الرئيسي للعدوى من هذا النوع.