19.05.2025
1 хв
612
Фейковий KeePass перетворився на троянського коня для Cobalt Strike, викрадання паролів та шифрування серверів VMware ESXi силами Black Basta/BlackCat.
Кіберзлочинці розповсюджували зловмисний інсталятор KeePass через рекламу Bing, отримуючи повний доступ до систем завдяки вбудованому бекдору KeeLoader. Дослідники WithSecure виявили кампанію, що задіяла модифікований KeePass — KeeLoader — для інсталяції Cobalt Strike, викрадання бази паролів у форматі CSV-файлу та подальшого шифрування ESXi серверів. Інсталятор KeeLoader розповсюджувався через рекламні оголошення з типосквотинг-доменів: keeppaswrd[.]com, keegass[.]com та KeePass[.]me.
Програма виглядала як справжня, але непомітно витягувала логіни, паролі та вебсайти, де вони зберігались. Злочинці також створили інфраструктуру з підроблених вебсайтів WinSCP, Phantom Wallet, Sallie Mae тощо — для поширення іншого шкідливого програмного забезпечення та фішингу.
KeePass — популярний менеджер паролів з відкритим вихідним кодом, що дозволяє стороннім особам компілювати власні версії. Зловмисники скористались цією відкритістю, щоб інтегрувати бекдори. Ключовим індикатором атаки був watermark Cobalt Strike, що вказує на Initial Access Brokers, пов’язаних з Black Basta/ALPHV (BlackCat) — відомими угрупованнями-шифрувальниками.
Користувачам слід утримуватися від завантажень за рекламними посиланнями — навіть якщо URL виглядає легітимним. KeeLoader доводить, що шкідники адаптують легальне програмне забезпечення під власні потреби, вдаючись до підписаних сертифікатів та репутаційних інструментів для обходу перевірок. Завантажуйте програми лише з офіційних вебсайтів.
