Троянизированный менеджер паролей KeePass крадёт данные и распространяет вымогателей

Атака продолжалась не менее восьми месяцев и отличалась высокой изощрённостью. Злоумышленники не просто распространяли вредоносное ПО вместе с KeePass, а внедрили зловредный код непосредственно в его исходники. Модифицированная версия сохраняла все пароли в открытом виде и загружала Cobalt Strike - мощный инструмент для кибершпионажа.

Для распространения троянизированного KeePass преступники использовали фишинговые сайты, маскирующиеся под официальный ресурс проекта. Через рекламу в поисковых системах Bing и DuckDuckGo пользователей перенаправляли на поддельные страницы загрузки. Особую опасность представляло то, что вредоносные файлы были подписаны легитимными цифровыми сертификатами, что помогало обходить защитные системы.

Эксперты связывают эту кампанию с деятельностью Black Basta - преступной группировки, специализирующейся на несанкционированном доступе к корпоративным сетям. В некоторых случаях после заражения следовали атаки вымогателей, шифрующих данные на серверах VMware ESXi.

WithSecure рекомендует пользователям проявлять особую бдительность при загрузке KeePass и скачивать его исключительно с официального сайта keepass.info. Также важно проверять цифровые подписи установочных файлов и использовать современные системы защиты конечных точек.

Этот инцидент демонстрирует новую опасную тенденцию - киберпреступники всё чаще атакуют доверенное open-source ПО, превращая его в инструмент для масштабных атак. Даже проверенные временем программы теперь могут представлять угрозу, если были загружены из ненадёжных источников.

Domains

• 1ba8d063-0.b-cdn.net
• aicmas.com
• alldataservice.com
• alliemae-com-login.aenys.com
• animatedwebworks.com
• arch-online.com
• burleson-appliance.net
• cadcamlabs.ru
• concord-appliance.com
• desoto-appliance.net
• dexscreener-com.aenys.com
• howupbusiness.com
• insightsforconsultancy.com
• keebass.com
• keegass.com
• KeePass.me
• KeePass-download.grmspace.com
• KeePass-info.aenys.com
• KeePassx.com
• keeppaswrd.com
• keespass.biz
• larcausk.site
• lvshilc.com
• nestlingspace.com
• phantom-wallet-com.aenys.com
• precizeabrilliant.com
• protek-tech.com
• prythera.com
• Pump-fun.aenys.com
• Pump-fun-official.aenys.com
• resvat.co
• resvat.com
• smakotin.com
• takuripo.com
• winscp-net-download.aenys.com
• woodforest-login.aenys.com
• zowhy.com

URLs

• https://aicmas.com/Apply/readme/VJICARU60DC?[REDACTED]=[REDACTED]
• https://aicmas.com/List/com2/9O29EO3IRSBB
• https://arch-online.com/List/com2/9O29EO3IRSBB
• https://keeppaswrd.com/download.php
• https://lvshilc.com/KeePass-2.56-Setup.exe
• roatanforareason.com/wp-content/plugins/fix/TreeSizeFreeSetup.zip

MD5

• 8b386b89e614d3084c1da3c28e324fb2
• c676acf4e16cc7cdd813c423b4824873

SHA1

• 7f931cda5a0e340e60506d7f9db801becc24bcc4
• d2984f9bf8f71cbbed61e44cd4f1e888a8f2a26a

SHA256

• 0000cff6a3c7f7eebc0edc3d1e42e454ebb675e57d6fc1fd968952694b1b44b3
• 0e5199b978ae9816b04d093776b6699b660f502445d5850e88726c05e933e7d8
• 0f6cfb62ed2f118c776a049b93e5d3e7b226f74e7b466c1cfed3c449ed23a42b
• 0fc4397d28395974bba2823a1d2437b33793127b8f5020d995109207a830761b
• 128a68a714f2f6002f5e8e8cfe0bbae10cd2ffe63d30c8acc00255b9659ce121
• 2c510f9ae4472342faafb7f2a1f278160f3581ead8ccd5b7ba7951863dcba2f5
• 2dd75a7f9948d794e95539b9a9ccc6a1488fb64dbe099fea401a13f98166d6ae
• 3733b3be213ee4b959b70ff070b46e30b2785b14f1aecb74e0788dd00a1e1853
• 42d391dd7bfa4ea348ec1cd2620ea6458b37682f2b303e4a266e3d11a689f8ab
• 5b48bbf2364f78812ea411ef41fb8b693a3965df13596b303e12f69908784d03
• 83a13d14e1cbc25e46be87472de1956ac91727553bb3f019997467b2bab2658f
• 9cb3de5d5cc804235bd12c00ed45ec9d6116cc2c7523986dddb4d8643d54f5e5
• a5e643c6cda31e0c7691dab58febe2efce0e98c33b19fe495b74b885de134a22
• c6ed28cc576340b9f0e9324bef8c8c428bcd32c5234be73b885caa20549f332b
• f1c6d8e594f85cd2cb844a3e8a90509ea137a67d7ef3f1b68a7be17df6ccac74
• fa3eca4d53a1b7c4cfcd14f642ed5f8a8a864f56a8a47acbf5cf11a6c5d2afa2

• W_Intel_Research_KeePass_Trojanised_Malware_Campaign.pdf