Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass

Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass
Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass
На протяжении как минимум восьми месяцев группа киберпреступников распространяет вредоносные варианты менеджера паролей KeePass, применяя их для установки Cobalt Strike, хищения учётных данных и дальнейшего запуска программ-вымогателей в корпоративных сетях.

Кампания была выявлена командой WithSecure в ходе расследования инцидента с применением вымогателя, пострадавшая организация которой потеряла доступ к серверам VMware ESXi.

Атака начиналась с загрузки поддельного установщика KeePass через рекламу в Bing, перенаправляющую пользователей на фальшивые сайты. KeePass является проектом с открытым исходным кодом, что позволило злоумышленникам изменить исходники, добавив вредоносную функциональность в рабочую сборку программы. Полученная модификация, получившая название KeeLoader, сохраняла весь стандартный интерфейс KeePass, но дополнительно устанавливала Cobalt Strike Beacon — инструмент для дальнейшего контроля за заражённой системой. Одновременно программа экспортировала всю базу паролей KeePass в открытом виде и передавала её атакующим через тот же Beacon.

Согласно отчёту WithSecure, кампания использовала определённый watermark — уникальный идентификатор в теле Beacon, связанный с лицензией Cobalt Strike. Этот watermark ранее встречался в атаках группировки Black Basta, известной применением вымогателя и сотрудничеством с брокерами первоначального доступа (Initial Access Brokers). В данном случае именно такой IAB предположительно стоял за распространением KeeLoader.

Кроме кражи паролей, модифицированная программа экспортировала дополнительные данные базы — логины, URL-адреса, комментарии — в CSV-файл с расширением .kp, сохраняемый в папке %localappdata%. Имя файла представляло собой случайное число от 100 до 999. Эти данные также отправлялись атакующим, что позволило получить доступ ко всем учетным записям пользователя.

Примечательно, что в ходе расследования специалисты нашли несколько вариантов KeeLoader, подписанных подлинными цифровыми сертификатами. Для их распространения использовались сайты-двойники, такие как keeppaswrd[.]com, keegass[.]com и KeePass[.]me. Некоторые из этих доменов, в том числе keeppaswrd[.]com, до сих пор активны и по-прежнему распространяют вредоносные версии KeePass, что было подтверждено через VirusTotal.

Поддельный сайт KeePass, продвигающий троянизированный установщик ( BleepingComputer )

Инфраструктура злоумышленников оказалась довольно масштабной: они создавали фейковые страницы популярных сервисов, включая WinSCP, Phantom Wallet, Sallie Mae и DEX Screener. Через них распространялись иные варианты вредоносного ПО или собирались учётные данные пользователей. Один из ключевых доменов, использовавшихся в рамках кампании — aenys[.]com — размещал на своих поддоменах эти поддельные сайты.

Аналитики WithSecure связывают данную активность с группой UNC4696, которую ранее ассоциировали с кампанией Nitrogen Loader. Последняя, в свою очередь, ранее связывалась с операторами вымогателя BlackCat/ALPHV.

Подобные атаки ещё раз подтверждают, что даже корректный домен в рекламе не является гарантией безопасности. Злоумышленники успешно обходят политику рекламных сетей, подставляя подлинные URL-адреса и маскируя переходы на вредоносные сайты. Поэтому для загрузки критически важных программ, таких как менеджеры паролей, крайне важно использовать только официальные источники и избегать любых ссылок из рекламы.


Распечатать
02 июля 2025 После допроса в Екатеринбурге был отпущен Шахин Шихлинский, руководитель организации «Азербайджан-Урал»
02 июля 2025 Министерство юстиции США обвиняет КНДР в использовании зарплат IT-специалистов для финансирования военных нужд
02 июля 2025 Суд в Азербайджане арестовал россиянина на четыре месяца
02 июля 2025 Олигарх Аркадий Ротенберг берет под управление гостиничный бизнес на базе отдыха «Прометей»
01 июля 2025 Александр Репин переносит свой бизнес в Свердловскую область из-за разногласий с властями Пермского края
01 июля 2025 Трамп выразил недовольство по поводу Маска из-за субсидий и электромобилей
01 июля 2025 Верховный суд заочно арестовал бывшего судью Мурата Эфендиева по делу о крупном мошенничестве
01 июля 2025 Власти Свердловской области начали переговоры с азербайджанской диаспорой
01 июля 2025 «Он даже не Антихрист»: Симоньян публично оскорбила Никола Пашиняна
01 июля 2025 Краснодарский суд приговорил убийцу бизнесмена к 16 годам лишения свободы в исправительной колонии строгого режима
01 июля 2025 Бориса Иванюженкова и Виктора Федотова связывают не только деловые отношения, но и семейные летние поездки
01 июля 2025 Асфальт не выдержал: в Баку мужчина упал в люк и погиб
01 июля 2025 Кремль заявляет, что Россия стремится поддерживать хорошие отношения с Азербайджаном
01 июля 2025 Задержанный заместитель директора «Московских Ярмарок» раскроет схему министра Алексея Немерюка
01 июля 2025 Заместителю губернатора Белгородской области Рустэму Зайнуллину может грозить до 10 лет лишения свободы за хищение миллионов рублей
01 июля 2025 Рейдерский захват под прикрытием: как подмосковные правоохранительные органы изымают майнинг-фермы под предлогом проведения расследований
01 июля 2025 В Европе установилась необычная жара
01 июля 2025 Власти Камчатки объявили о введении ограничений для судоходства в Авачинской губе
01 июля 2025 Евросоюз настаивает на введении квот и исключений в ходе переговоров с США по вопросам тарифов
01 июля 2025 Трамп угрожает прекратить финансовую поддержку Нью-Йорка из-за Зохрана Мамдани