数字经济观察网 - 软信官网

5月20日消息，网络安全公司WithSecure最新披露[PDF]，网络黑客至少在过去八个月内，通过篡改KeePass密码管理器，传播恶意版本，安装Cobalt Strike信标，窃取用户凭据，并在被攻破的网络上部署勒索软件。

该公司在调查一起勒索软件攻击时，发现了这一恶意活动。攻击始于通过Bing广告推广的恶意KeePass安装程序，这些广告引导用户访问伪装成合法软件的网站。

由于KeePass是开源软件，威胁行为者修改了源代码，开发出名为KeeLoader的木马版本，看似正常运行密码管理功能，却暗藏玄机：会安装Cobalt Strike信标，并以明文形式导出KeePass密码数据库，随后通过信标窃取数据。

据悉，此次活动中使用的Cobalt Strike水印关联Black Basta勒索软件，指向同一个初始访问代理（IAB）。

研究人员发现多个KeeLoader变种，这些变种使用合法证书签名，并通过拼写错误域名（如keeppaswrdcom、keegasscom）传播。

IT之家援引BleepingComputer博文介绍，如keeppaswrdcom等部分伪装网站仍在活动，继续分发恶意KeePass安装程序。

此外，KeeLoader不仅植入Cobalt Strike信标，还具备密码窃取功能，能直接捕获用户输入的凭据，并将数据库数据以CSV格式导出，存储在本地目录下，并导致受害公司的VMware ESXi服务器被勒索软件加密。

进一步调查揭示，威胁行为者构建了庞大基础设施，分发伪装成合法工具的恶意程序，并通过钓鱼页面窃取凭据。例如，aenyscom域名托管多个子域名，伪装成WinSCP、PumpFun等知名服务，用于分发不同恶意软件或窃取凭据。