Фальшивый KeePass с трояном KeeLoader крадёт пароли и шифрует серверы VMware

Злоумышленники на протяжении по меньшей мере восьми месяцев распространяют фальшивые версии менеджера паролей KeePass с встроенным трояном. Их цель — установка маяков Cobalt Strike, кража учетных данных и последующее внедрение программы-вымогателей (ransomware) в скомпрометированные сети.

Команда Threat Intelligence компании WithSecure обнаружила эту кампанию в ходе расследования одной из атак. Выяснилось, что заражение началось с установки вредоносной версии KeePass, распространяющейся через фальшивые сайты ПО, рекламируемые в Bing.

Поскольку KeePass является проектом с открытым исходным кодом, злоумышленники изменили его код и собрали версию с трояном под названием KeeLoader. Она полностью повторяет функциональность обычного KeePass, но включает в себя вредоносные дополнения — установку маяка Cobalt Strike и экспорт базы данных KeePass в открытом виде, который затем передается атакующим.

По данным WithSecure, используемые в атаке маяки Cobalt Strike связаны с группировкой, предположительно действующей в роли Initial Access Broker (посредник в получении доступа) и ранее участвовавшей в атаках с использованием вымогателя Black Basta.

Маяк Cobalt Strike содержит уникальный водяной знак, связанный с лицензией, на основе которой был создан вредоносный код. Именно по этому водяному знаку исследователи смогли отследить источник угрозы.

В отчете WithSecure сообщается:

Этот водяной знак часто встречается в контексте маяков и доменов, связанных с Black Basta. Вероятно, он используется группами Initial Access Broker, тесно сотрудничающими с Black Basta.

Исследователи обнаружили несколько вариантов KeeLoader, подписанных подлинными сертификатами и распространяемых через поддельные домены, такие как:

• keeppaswrd[.]com
• keegass[.]com
• KeePass[.]me

Помимо установки маяков, заражённая версия KeePass содержала встроенный механизм кражи паролей — все введённые пользователем данные перехватывались и сохранялись в CSV-файл.

В отчете WithSecure отмечается:

KeeLoader был не просто модифицирован до такой степени, что мог действовать как загрузчик вредоносного ПО. Его функциональность была расширена для облегчения эксфильтрации данных базы данных KeePass

Когда база данных KeePass открывалась, информация об учетной записи, имени пользователя, пароле, веб-сайте и комментариях экспортировалась в CSV-файл в папке %localappdata%, с расширением .kp и случайным числовым значением от 100 до 999 в имени файла.

В расследуемом случае итогом атаки стало шифрование серверов VMware ESXi.

Дополнительный анализ показал, что у злоумышленников имеется широкая инфраструктура, включающая поддельные сайты известных сервисов, таких как WinSCP, Phantom Wallet, Woodforest Bank, DEX Screener и др.

Каждый из этих сайтов использовался либо для распространения вредоносного ПО, либо для фишинга с целью кражи учетных данных.

По оценке WithSecure, за этой кампанией с высокой долью вероятности стоит группа UNC4696, ранее связанная с атаками через Nitrogen Loader и BlackCat/ALPHV ransomware.

Пользователям настоятельно рекомендуется загружать программное обеспечение только с официальных или проверенных источников. Это особенно важно для чувствительных программ, таких как менеджеры паролей. Не переходите по рекламным ссылкам, даже если они отображают корректный адрес — злоумышленники умеют маскировать вредоносные ресурсы под легитимные.