Фейковый менеджер паролей взломал VMware ESXi
Киберпреступники распространяют модифицированные версии менеджера паролей KeePass уже как минимум восемь месяцев. Вредоносное ПО используется для установки Cobalt Strike, кражи учетных данных и последующего запуска ransomware в зараженных сетях.
Исследователи WithSecure обнаружили кампанию во время расследования ransomware-атаки. Злоумышленники создали поддельные сайты, имитирующие официальные страницы KeePass, и продвигали их через рекламу в Bing. Поскольку KeePass — open-source, преступники смогли модифицировать его код, добавив функционал для установки Cobalt Strike и экспорта паролей в plain text.
Модифицированная версия, названная KeeLoader, сохраняет все функции оригинального KeePass, но дополнительно:
- устанавливает Cobalt Strike beacon,
- крадет данные из базы паролей,
- отправляет их на серверы злоумышленников.
Связь с Black Basta
Анализ показал, что водяные знаки Cobalt Strike в этой кампании связаны с Initial Access Broker (IAB), который ранее работал с Black Basta ransomware. Подозревается, что группа UNC4696, стоящая за атакой, сотрудничает с этим ransomware-оператором.
Фейковые сайты и сертификаты
Злоумышленники использовали домены, похожие на официальные (например, keeppaswrd[.]com, keegass[.]com), и подписывали вредоносные установщики легальными сертификатами. Некоторые из этих сайтов до сих пор активны.
Кроме KeePass, атакующие создали сеть фишинговых страниц, имитирующих WinSCP, Phantom Wallet и другие сервисы, чтобы распространять malware или красть данные.
Итог атаки
В расследованном случае атака привела к шифрованию VMware ESXi серверов ransomware. WithSecure рекомендует скачивать ПО, особенно менеджеры паролей, только с официальных сайтов, так как даже реклама с правильным URL может вести на поддельные страницы.
Если коротко: открытый исходный код — это не только про прозрачность, но и про уязвимости, которыми могут воспользоваться злоумышленники.
