Popularna aplikacja może być niebezpieczna. Ujawni wszystkie Twoje hasła
Popularny menedżer haseł może być niebezpieczny. Po sieci krąży jego zmodyfikowana wersja, zawierająca złośliwy kod.
Eksperci z zespołu Threat Intelligence firmy WithSecure odkryli trwającą od co najmniej ośmiu miesięcy kampanię, w której cyberprzestępcy dystrybuują fałszywe i szkodliwe wersje popularnego menedżera haseł KeePass.
Niebezpieczny KeePass
Celem ataków jest instalacja beaconów Cobalt Strike, kradzież danych uwierzytelniających, a w konsekwencji wdrażanie oprogramowania ransomware w zaatakowanych sieciach.
Dochodzenie WithSecure rozpoczęło się od zgłoszenia ataku ransomware. Badacze ustalili, że początek infekcji stanowił złośliwy instalator KeePass. Ten był promowany za pośrednictwem reklam Bing, które kierowały użytkowników do fałszywych witryn z instalatorem menedżera haseł.
Ponieważ KeePass jest oprogramowaniem open-source, przestępcy zmodyfikowali jego kod źródłowy, tworząc szkodliwą wersję nazwaną KeeLoader. Oprogramowanie to zachowuje wszystkie standardowe funkcje menedżera haseł, ale zawiera dodatkowe modyfikacje, które instalują beacona Cobalt Strike oraz eksportują bazę danych haseł KeePass w postaci jawnego tekstu.
Badacze odkryli wiele wariantów KeeLoader, które były podpisywane legalnymi certyfikatami i rozpowszechniane poprzez domeny typosquattingowe (o zbliżonej nazwie do oryginalnej), takie jak: keeppaswrd[.]com, keegass[.]com i KeePass[.]me. Co gorsze, niektóre z nich wciąż są dostępne i cały czas dystrybuują szkodliwe oprogramowanie.
KeeLoader został zmodyfikowany nie tylko w takim stopniu, aby mógł działać jako ładowarka złośliwego oprogramowania. Jego funkcjonalność została rozszerzona o możliwość eksfiltracji danych z bazy danych KeePass.
Za kampanię prawdopodobnie odpowiedzialna jest grupa przestępcza UNC4696.
