5 月 20 日消息，網(wǎng)絡(luò)安全公司 WithSecure 最新披露 [PDF]，網(wǎng)絡(luò)黑客至少在過去八個月內(nèi)，通過篡改 KeePass 密碼管理器，傳播惡意版本，安裝 Cobalt Strike 信標(biāo)，竊取用戶憑據(jù)，并在被攻破的網(wǎng)絡(luò)上部署勒索軟件。

該公司在調(diào)查一起勒索軟件攻擊時，發(fā)現(xiàn)了這一惡意活動。攻擊始于通過 Bing 廣告推廣的惡意 KeePass 安裝程序，這些廣告引導(dǎo)用戶訪問偽裝成合法軟件的網(wǎng)站。

由于 KeePass 是開源軟件，威脅行為者修改了源代碼，開發(fā)出名為 KeeLoader 的木馬版本，看似正常運行密碼管理功能，卻暗藏玄機：會安裝 Cobalt Strike 信標(biāo)，并以明文形式導(dǎo)出 KeePass 密碼數(shù)據(jù)庫，隨后通過信標(biāo)竊取數(shù)據(jù)。

據(jù)悉，此次活動中使用的 Cobalt Strike 水印關(guān)聯(lián) Black Basta 勒索軟件，指向同一個初始訪問代理（IAB）。

研究人員發(fā)現(xiàn)多個 KeeLoader 變種，這些變種使用合法證書簽名，并通過拼寫錯誤域名（如 keeppaswrdcom、keegasscom）傳播。

據(jù) BleepingComputer 博文介紹，如 keeppaswrdcom 等部分偽裝網(wǎng)站仍在活動，繼續(xù)分發(fā)惡意 KeePass 安裝程序。

此外，KeeLoader 不僅植入 Cobalt Strike 信標(biāo)，還具備密碼竊取功能，能直接捕獲用戶輸入的憑據(jù)，并將數(shù)據(jù)庫數(shù)據(jù)以 CSV 格式導(dǎo)出，存儲在本地目錄下，并導(dǎo)致受害公司的 VMware ESXi 服務(wù)器被勒索軟件加密。

進(jìn)一步調(diào)查揭示，威脅行為者構(gòu)建了龐大基礎(chǔ)設(shè)施，分發(fā)偽裝成合法工具的惡意程序，并通過釣魚頁面竊取憑據(jù)。例如，aenyscom 域名托管多個子域名，偽裝成 WinSCP、PumpFun 等知名服務(wù)，用于分發(fā)不同惡意軟件或竊取憑據(jù)。