ALERTĂ DE SECURITATE: Manager de parole fals KeePass folosit pentru atacuri ransomware asupra serverelor ESXi

 

Într-o campanie de atacuri cibernetice care a durat cel puțin opt luni, actori malefici au distribuit versiuni troianizate ale managerului de parole KeePass. Aceste versiuni modificate au fost utilizate pentru a instala balize Cobalt Strike, a fura acreditive și, în cele din urmă, a lansa atacuri ransomware asupra rețelelor compromise.

Cercetătorii de la WithSecure au descoperit această campanie în urma unei investigații privind un atac ransomware. Aceștia au constatat că atacul a început cu un instalator KeePass malițios promovat prin reclame Bing care direcționau utilizatorii către site-uri software false. Fiind un software open-source, KeePass a permis actorilor malefici să modifice codul sursă și să creeze o versiune troianizată, denumită KeeLoader. Această versiune păstra funcționalitățile normale ale managerului de parole, dar includea modificări care instalau o baliză Cobalt Strike și exportau baza de date KeePass în text clar, care era apoi sustrasă prin intermediul balizei.

WithSecure afirmă că semnele distinctive ale balizei Cobalt Strike utilizate în această campanie sunt legate de un broker de acces inițial (IAB) asociat anterior cu atacuri ransomware Black Basta.

Cercetătorii au identificat mai multe variante ale KeeLoader, semnate cu certificate legitime și răspândite prin domenii typo-squatting precum keeppaswrd[.]com, keegass[.]com și KeePass[.]me. Site-ul keeppaswrd[.]com este încă activ și continuă să distribuie instalatorul troianizat KeePass.

În plus față de instalarea balizelor Cobalt Strike, programul KeePass troianizat includea funcționalități de furt de parole, permițând actorilor malefici să sustragă orice acreditive introduse în program. Datele bazei de date KeePass erau exportate în format CSV și stocate local înainte de a fi transmise atacatorilor.

În cele din urmă, atacul investigat de WithSecure a dus la criptarea serverelor VMware ESXi ale companiei cu ransomware. Investigația ulterioară a campaniei a descoperit o infrastructură extinsă creată pentru a distribui programe malițioase deghizate în instrumente legitime și pagini de phishing concepute pentru a fura acreditive.

Domeniul aenys[.]com a fost utilizat pentru a găzdui subdomenii suplimentare care imitau companii și servicii cunoscute, cum ar fi WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank și DEX Screener. Fiecare dintre acestea a fost utilizat pentru a distribui diferite variante de malware sau pentru a fura acreditive.

WithSecure atribuie această activitate cu un grad moderat de încredere grupului de actori malefici UNC4696, asociat anterior cu campaniile Nitrogen Loader. Campaniile anterioare Nitrogen au fost legate de ransomware-ul BlackCat/ALPHV.

Utilizatorii sunt sfătuiți să descarce întotdeauna software, în special cele sensibile precum managerii de parole, de pe site-uri legitime și să evite orice site-uri legate de reclame. Chiar dacă o reclamă afișează URL-ul corect pentru un serviciu software, ar trebui totuși evitată, deoarece actorii malefici au demonstrat în repetate rânduri că pot ocoli politicile de publicitate pentru a afișa URL-ul legitim în timp ce leagă către site-uri impostor.