Врятуйте ваші файли

Протягом щонайменше восьми місяців кіберзлочинці займалися поширенням троянських вірусів, вбудованих у змінений менеджер паролів KeePass. Їхня мета – встановлення "маяків" Cobalt Strike, викрадення облікових даних та, зрештою, розгортання програм-вимагачів у скомпрометованих мережах. Через деякий час після того, як ви встановлюєте програму, вона "прокидається", зашифровує ваші дані й виводить на екран повідомлення з вимогою викупу, повідомляє 24 Канал з посиланням на BleepingComputer.

Дивіться також Хтось зламав одну з найвідоміших хакерських груп у світі

Ця кампанія була виявлена командою аналізу загроз WithSecure під час розслідування атаки з використанням програм-вимагачів. Дослідники встановили, що початковою точкою атаки був заражений інсталятор KeePass, який просувався через рекламні оголошення в Bing, що вели на підроблені сайти програмного забезпечення.

Оскільки KeePass є проєктом із відкритим початковим кодом, зловмисники змогли змінити код програми для створення троянізованої версії, яку назвали KeeLoader. Ця версія зберігала стандартні функції управління паролями, але містила модифікації для встановлення "маяка" Cobalt Strike та експорту бази даних паролів з KeePass прямо на сервери хакерів у вигляді відкритого тексту.

Дослідники WithSecure зазначили, що "водяні знаки" Cobalt Strike, використані в цій кампанії, пов'язані з розробником програм-вимагачів Black Basta. Зараз вони менш активні, ніж раніше, оскільки зіткнулися з низкою проблем, коли було злито інформацію з їхнього чату, включаючи фінансові дані.

Виявлено кілька варіантів KeeLoader, які були підписані легітимними сертифікатами. Їх поширювали через домени з використанням прийому "typo-squatting", імітуючи назву KeePass, наприклад, keeppaswrd[.]com, keegass[.]com та KeePass[.]me. На момент публікації, сайт keeppaswrd[.]com є активним і продовжує розповсюджувати троянізований інсталятор KeePass.

Подальше дослідження цієї кампанії виявило розгалужену інфраструктуру, створену для розповсюдження шкідливих програм, замаскованих під легітимні інструменти, а також фішингові сторінки для викрадення облікових даних. Наприклад, домен aenys[.]com використовувався для розміщення додаткових субдоменів, що імітували відомі компанії та сервіси, такі як WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank та DEX Screener. Кожен з них застосовувався для розповсюдження різних варіантів шкідливого ПЗ або викрадення облікових даних.

Що робити

Користувачам завжди рекомендується завантажувати програмне забезпечення, особливо таке чутливе, як менеджери паролів, виключно з легітимних, офіційних сайтів. Слід уникати будь-яких сайтів, на які ведуть посилання в рекламних оголошеннях. Навіть якщо оголошення показує правильну URL-адресу офіційного сервісу, його все одно слід уникати, оскільки зловмисники неодноразово доводили свою здатність обходити рекламні політики для відображення легітимної адреси, одночасно перенаправляючи на сайти-імітатори.

Краще вручну знайдіть сайт офіційного розробника і завантажте програму звідти.

Якщо ви встановили програму на свій комп'ютер, слід негайно її позбутися, поки вона не активувала троянський вірус. Однак як відрізнити легітимну програму від зараженої, експерти не пояснюють. Все виглядає так, що єдиним способом дізнатися, яка версія у вас встановлена, – це згадати, звідки ви її завантажили.