Fałszywy KeePass atakuje przez reklamy
Z pozoru wszystko wyglądało normalnie. Użytkownik pobierał dobrze znane oprogramowanie do zarządzania hasłami — KeePass. Program działał jak należy, pozwalał dodawać loginy, hasła, generować bezpieczne ciągi znaków, oferował pełną funkcjonalność menedżera haseł, do jakiej przyzwyczaiło się tysiące jego użytkowników. Problem w tym, że był to tylko pozór. W rzeczywistości była to zmodyfikowana wersja programu, przygotowana przez cyberprzestępców i dystrybuowana przez fałszywe strony podszywające się pod oficjalne źródła, promowane dodatkowo przez reklamy w wyszukiwarce Bing. Zmieniony program, nazwany przez analityków KeeLoader, miał w sobie zaszyte znacznie więcej niż tylko opcje do zarządzania hasłami. Po zainstalowaniu na komputerze ofiary natychmiast uruchamiał ukryty moduł — tzw. beacon Cobalt Strike — umożliwiający zdalny dostęp do urządzenia. W tym samym czasie rozpoczynał też kopiowanie całej bazy danych z KeePassa i eksportował ją w czystym formacie tekstowym. Dane takie jak login, hasło, adres strony internetowej czy notatki były zapisywane w specjalnym pliku i wysyłane cyberprzestępcom. Jak ustalił zespół WithSecure, proces ten był całkowicie zautomatyzowany i praktycznie niewidoczny dla użytkownika. Szczegóły kampanii wyszły na jaw dopiero, gdy jedna z firm padła ofiarą poważnego ataku ransomware, który doprowadził do zaszyfrowania ich serwerów VMware ESXi. To właśnie analiza incydentu pozwoliła odkryć, że cała infekcja zaczęła się od pobrania spreparowanego instalatora KeePassa z reklamy w wyszukiwarce. Fałszywa wersja była nie tylko sprawnie przygotowana, ale też podpisana legalnymi certyfikatami i rozprzestrzeniana przez domeny przypominające prawdziwe, takie jak keeppaswrd[.]com czy keegass[.]com.
W tle ransomware i wyrafinowana infrastruktura
KeeLoader nie był przypadkowym tworem jednego hakera. Za całym procederem stoi zorganizowana grupa, którą eksperci powiązali z UNC4696 — ugrupowaniem wcześniej znanym z kampanii związanych z Nitrogen Loader i ransomware BlackCat/ALPHV. Co istotne, złośliwy sygnalizator Cobalt Strike użyty w tej kampanii posiadał unikalny znak wodny, który według badaczy był wcześniej obserwowany w atakach ransomware Black Basta. To pozwoliło połączyć aktywność grupy z działalnością brokerów dostępu — cyberprzestępców, którzy infekują systemy tylko po to, by sprzedać dostęp innym grupom, specjalizującym się w ostatecznym etapie ataku: wdrożeniu oprogramowania szyfrującego. Infrastruktura wykorzystywana przez przestępców była szeroka i dobrze przemyślana. Fałszywe strony nie ograniczały się jedynie do KeePassa. W ramach tej samej sieci wykorzystywano też inne spreparowane witryny, podszywające się pod popularne narzędzia, banki i usługi kryptowalutowe, takie jak WinSCP, Phantom Wallet czy DEX Screener. Wszystkie one miały na celu jedno — zdobycie danych uwierzytelniających i rozpoczęcie procesu przejmowania systemów ofiar. To, co zaniepokoiło badaczy najbardziej, to sposób dystrybucji szkodliwego oprogramowania. Cyberprzestępcy nie tylko wykorzystywali zmyślne domeny i legalnie wyglądające strony, ale też reklamowali je w wyszukiwarkach. Użytkownik mógł wpisać w Binga „pobierz KeePass” i zobaczyć reklamę z poprawnym adresem URL, która jednak przekierowywała na fałszywą stronę. To pokazuje, że nawet reklamy — dotąd uznawane za relatywnie bezpieczne — stały się kolejnym narzędziem ataku. Sprawa jest tym groźniejsza, że KeePass to jedno z najpopularniejszych narzędzi do przechowywania haseł. Wystarczy jedna złośliwa wersja, by przejąć dostęp do setek kont użytkownika — poczty, banku, serwisów społecznościowych, a w przypadku firm — do kluczowej infrastruktury. Co więcej, sama modyfikacja KeePassa nie była widoczna na pierwszy rzut oka, a funkcjonalność programu pozostawała bez zarzutu. KeeLoader działał tak, jakby był oryginalnym KeePassem — tyle że równolegle wykradał dane i przygotowywał grunt pod atak ransomware.
