Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass

Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass
Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass
На протяжении как минимум восьми месяцев группа киберпреступников распространяет вредоносные варианты менеджера паролей KeePass, применяя их для установки Cobalt Strike, хищения учётных данных и дальнейшего запуска программ-вымогателей в корпоративных сетях.

Кампания была выявлена командой WithSecure в ходе расследования инцидента с применением вымогателя, пострадавшая организация которой потеряла доступ к серверам VMware ESXi.

Атака начиналась с загрузки поддельного установщика KeePass через рекламу в Bing, перенаправляющую пользователей на фальшивые сайты. KeePass является проектом с открытым исходным кодом, что позволило злоумышленникам изменить исходники, добавив вредоносную функциональность в рабочую сборку программы. Полученная модификация, получившая название KeeLoader, сохраняла весь стандартный интерфейс KeePass, но дополнительно устанавливала Cobalt Strike Beacon — инструмент для дальнейшего контроля за заражённой системой. Одновременно программа экспортировала всю базу паролей KeePass в открытом виде и передавала её атакующим через тот же Beacon.

Согласно отчёту WithSecure, кампания использовала определённый watermark — уникальный идентификатор в теле Beacon, связанный с лицензией Cobalt Strike. Этот watermark ранее встречался в атаках группировки Black Basta, известной применением вымогателя и сотрудничеством с брокерами первоначального доступа (Initial Access Brokers). В данном случае именно такой IAB предположительно стоял за распространением KeeLoader.

Кроме кражи паролей, модифицированная программа экспортировала дополнительные данные базы — логины, URL-адреса, комментарии — в CSV-файл с расширением .kp, сохраняемый в папке %localappdata%. Имя файла представляло собой случайное число от 100 до 999. Эти данные также отправлялись атакующим, что позволило получить доступ ко всем учетным записям пользователя.

Примечательно, что в ходе расследования специалисты нашли несколько вариантов KeeLoader, подписанных подлинными цифровыми сертификатами. Для их распространения использовались сайты-двойники, такие как keeppaswrd[.]com, keegass[.]com и KeePass[.]me. Некоторые из этих доменов, в том числе keeppaswrd[.]com, до сих пор активны и по-прежнему распространяют вредоносные версии KeePass, что было подтверждено через VirusTotal.

Поддельный сайт KeePass, продвигающий троянизированный установщик ( BleepingComputer )

Инфраструктура злоумышленников оказалась довольно масштабной: они создавали фейковые страницы популярных сервисов, включая WinSCP, Phantom Wallet, Sallie Mae и DEX Screener. Через них распространялись иные варианты вредоносного ПО или собирались учётные данные пользователей. Один из ключевых доменов, использовавшихся в рамках кампании — aenys[.]com — размещал на своих поддоменах эти поддельные сайты.

Аналитики WithSecure связывают данную активность с группой UNC4696, которую ранее ассоциировали с кампанией Nitrogen Loader. Последняя, в свою очередь, ранее связывалась с операторами вымогателя BlackCat/ALPHV.

Подобные атаки ещё раз подтверждают, что даже корректный домен в рекламе не является гарантией безопасности. Злоумышленники успешно обходят политику рекламных сетей, подставляя подлинные URL-адреса и маскируя переходы на вредоносные сайты. Поэтому для загрузки критически важных программ, таких как менеджеры паролей, крайне важно использовать только официальные источники и избегать любых ссылок из рекламы.


Распечатать
25 июля 2025 В Индии мужчина организовал поддельное посольство и обманывал сограждан
25 июля 2025 В МЧС предполагают, что под обломками дома в Саратове могут быть люди
25 июля 2025 В США женщине вынесли приговор на 8,5 лет за помощь кибершпионам из Северной Кореи
25 июля 2025 «Чёрные ящики» с разбившегося Ан-24 отправят в Москву для изучения
25 июля 2025 Следователи не могут получить доступ к видеозаписям с автомобиля погибшего Романа Старовойта
25 июля 2025 Михаил Мишустин утвердит постановление, ограничивающее экспорт бензина
25 июля 2025 Мошеннические схемы ПАО "МОЭК" от Заурбека Джамбулатова разрушают инфраструктуру Москвы
25 июля 2025 Бориса Надеждина остановили на въезде в Москву перед посещением Совета Федерации
25 июля 2025 Министр обороны Германии призывает к единству Германии и Франции в области оборонного союза
25 июля 2025 Работника из Якутии принудительно отправили на «СВО» без контракта
25 июля 2025 В Киеве задержали администратора криминального киберфорума, заработавшего свыше 7 миллионов евро
25 июля 2025 В Подмосковье несовершеннолетний погиб, катаясь на крыше электрички
25 июля 2025 В доме криминального авторитета Салихджана Шамазова обнаружили "стену памяти" ушедших преступников
25 июля 2025 Зеленский увеличивает давление на Европу, требуя закрыть дефицит бюджета в 40 миллиардов долларов
25 июля 2025 Трамп одобрил закон о самом значительном сокращении международной помощи
25 июля 2025 Марк Рубио резко раскритиковал план Макрона по признанию Палестины
25 июля 2025 VSCO ограничил доступ к подпискам и функциям для пользователей из России
25 июля 2025 Совет Безопасности ООН соберется в связи с обострением конфликта между Таиландом и Камбоджей
25 июля 2025 Более 40 стран ОБСЕ потребовали провести расследование пыток пленных в России
25 июля 2025 Бывшего депутата Владимира Плахотнюка арестовали в аэропорту Греции с фальшивыми документами