Спасите ваши файлы

В течение по меньшей мере восьми месяцев киберпреступники занимались распространением троянских вирусов, встроенных в измененный менеджер паролей KeePass. Их цель – установка "маяков" Cobalt Strike, похищение учетных данных и, в конце концов, развертывание программ-вымогателей в скомпрометированных сетях. Через некоторое время после того, как вы устанавливаете программу, она "просыпается", зашифровывает ваши данные и выводит на экран сообщение с требованием выкупа, сообщает 24 Канал со ссылкой на BleepingComputer.

Смотрите также Кто-то взломал одну из самых известных хакерских групп в мире

Эта кампания была обнаружена командой анализа угроз WithSecure во время расследования атаки с использованием программ-вымогателей. Исследователи установили, что начальной точкой атаки был зараженный инсталлятор KeePass, который продвигался через рекламные объявления в Bing, ведущие на поддельные сайты программного обеспечения.

Поскольку KeePass является проектом с открытым исходным кодом, злоумышленники смогли изменить код программы для создания троянизированной версии, которую назвали KeeLoader. Эта версия сохраняла стандартные функции управления паролями, но содержала модификации для установки "маяка" Cobalt Strike и экспорта базы данных паролей с KeePass прямо на серверы хакеров в виде открытого текста.

Исследователи WithSecure отметили, что "водяные знаки" Cobalt Strike, использованные в этой кампании, связаны с разработчиком программ-вымогателей Black Basta. Сейчас они менее активны, чем раньше, поскольку столкнулись с рядом проблем, когда была слита информация из их чата, включая финансовые данные.

Обнаружено несколько вариантов KeeLoader, которые были подписаны легитимными сертификатами. Их распространяли через домены с использованием приема "typo-squatting", имитируя название KeePass, например, keeppaswrd[.]com, keegass[.]com и KeePass[.]me. На момент публикации, сайт keeppaswrd[.]com является активным и продолжает распространять троянизированный инсталлятор KeePass.

Дальнейшее исследование этой кампании выявило разветвленную инфраструктуру, созданную для распространения вредоносных программ, замаскированных под легитимные инструменты, а также фишинговые страницы для похищения учетных данных. Например, домен aenys[.]com использовался для размещения дополнительных субдоменов, имитирующих известные компании и сервисы, такие как WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank и DEX Screener. Каждый из них применялся для распространения различных вариантов вредоносного ПО или похищения учетных данных.

Что делать

Пользователям всегда рекомендуется загружать программное обеспечение, особенно такое чувствительное, как менеджеры паролей, исключительно с легитимных, официальных сайтов. Следует избегать любых сайтов, на которые ведут ссылки в рекламных объявлениях. Даже если объявление показывает правильный URL-адрес официального сервиса, его все равно следует избегать, поскольку злоумышленники неоднократно доказывали свою способность обходить рекламные политики для отображения легитимного адреса, одновременно перенаправляя на сайты-имитаторы.

Лучше вручную найдите сайт официального разработчика и загрузите программу оттуда.

Если вы установили программу на свой компьютер, следует немедленно от нее избавиться, пока она не активировала троянский вирус. Однако как отличить легитимную программу от зараженной, эксперты не объясняют. Все выглядит так, что единственным способом узнать, какая версия у вас установлена, – это вспомнить, откуда вы ее скачали.