Неизвестные киберпреступники распространяют в глобальной сети взломанные версии менеджера паролей KeePass, установка которых ведет к самым неприятным последствиям. Об этом сообщили специалисты компании WithSecure, расследовавшие кибератаку на системы одного из своих клиентов.

KeePass является популярным менеджером паролей с открытым исходным кодом. Это позволило злоумышленникам внедрить в программу вредоносные компоненты, сохранив при этом ее интерфейс и функционал. Эти вредоносные версии распространялись под названием KeeLoader на специально созданных сайтах. При этом рекламировались они вполне официальным образом: так, в случае с расследуемой WithSecure кибератакой, реклама была размещена в поисковике Bing.

Взломанный менеджер паролей содержит так называемый маяк Cobalt Strike. Это изначально легитимный инструмент, созданный для тестирования сетей на проникновение. Однако Cobalt Strike давно уже «принят на вооружение» киберпреступниками и используется ими для контроля за инфицированной системой. В результате «трансформированный» KeePass экспортирует всю базу паролей пользователя и передает ее на подконтрольные злоумышленникам серверы.

Кроме того, взломанная версия менеджера паролей может использоваться для последующей загрузки дополнительного вредоносного ПО. И в атаке, описанной исследователями WithSecure, системы жертвы были в конечном итоге инфицированы зловредом-шифровальщиком.

По оценкам WithSecure, эта вредоносная кампания длится уже не менее восьми месяцев и организована достаточно масштабно. Злоумышленники создали несколько сайтов, включая keeppaswrd.com, keegass.com и  KeePass.me, с которых осуществляется загрузка KeeLoader. Некоторые из сайтов продолжают функционировать и в настоящий момент. Специалисты WithSecure предполагают, что за кампанией может стоять хакерская группировка UNC4696.