Atuantes maliciosos têm distribuído versões trojanizadas do gerenciador de senhas KeePass por pelo menos oito meses, com o objetivo de instalar beacons do Cobalt Strike, roubar credenciais e, no final, implementar ransomware na rede violada.
A equipe de Threat Intelligence da WithSecure descobriu a campanha após serem chamados para investigar um ataque de ransomware.
Os pesquisadores descobriram que o ataque começou com um instalador malicioso do KeePass promovido por meio de anúncios no Bing que divulgavam sites falsos de software.
Como o KeePass é open source, os atuantes maliciosos alteraram o código-fonte para construir uma versão trojanizada, denominada KeeLoader, que contém toda a funcionalidade normal de gerenciamento de senhas.
No entanto, inclui modificações que instalam um beacon do Cobalt Strike e exportam o banco de dados de senhas do KeePass como texto claro, que é então roubado através do beacon.
A WithSecure diz que as marcas d'água do Cobalt Strike usadas nesta campanha estão ligadas a um broker de acesso inicial (IAB) que se acredita estar associado com ataques de ransomware Black Basta no passado.
Uma marca d'água do Cobalt Strike é um identificador único incorporado em um beacon que está vinculado à licença usada para gerar o payload.
"Essa marca d'água é comumente notada no contexto de beacons e domínios relacionados ao ransomware Black Basta.
É provável que seja usada por atuantes maliciosos operando como Brokers de Acesso Inicial trabalhando em estreita colaboração com o Black Basta", explica a WithSecure.
"Não temos conhecimento de outros incidentes (ransomware ou de outro tipo) usando essa marca d'água do beacon do Cobalt Strike – isso não significa que não tenha ocorrido."
Os pesquisadores descobriram múltiplas variantes do KeeLoader, assinadas com certificados legítimos e disseminadas através de domínios de typo-squatting como keeppaswrd[.]com, keegass[.]com e KeePass[.]me.
O site BleepingComputer confirmou que o site keeppaswrd[.]com ainda está ativo e continua a distribuir o instalador trojanizado do KeePass [VirusTotal].
Além de soltar beacons do Cobalt Strike, o programa KeePass trojanizado incluiu funcionalidade de roubo de senha que permitiu aos atuantes maliciosos roubar quaisquer credenciais que fossem inseridas no programa.
"O KeeLoader não foi apenas modificado até o ponto de poder agir como um carregador de malware.
Sua funcionalidade foi estendida para facilitar a exfiltração de dados do banco de dados KeePass", lê-se no relatório da WithSecure.
"Quando os dados do banco de dados KeePass eram abertos; informações de conta, nome de login, senha, site e comentários também são exportados em formato CSV em %localappdata% como .kp.
Esse valor inteiro aleatório fica entre 100-999."
No final, o ataque investigado pela WithSecure levou à criptografia dos servidores VMware ESXi da empresa com ransomware.
Uma investigação adicional sobre a campanha encontrou uma infraestrutura extensiva criada para distribuir programas maliciosos disfarçados de ferramentas legítimas e páginas de phishing projetadas para roubar credenciais.
O domínio aenys[.]com foi usado para hospedar subdomínios adicionais que imitavam empresas e serviços bem conhecidos, como WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank e DEX Screener.
Cada um destes foi usado para distribuir diferentes variantes de malware ou roubar credenciais.
A WithSecure atribui esta atividade com moderada confiança ao UNC4696, um grupo de atuantes maliciosos previamente vinculado às campanhas do Nitrogen Loader.
Campanhas anteriores do Nitrogen foram vinculadas ao ransomware BlackCat/ALPHV.
Os usuários são sempre aconselhados a baixar softwares, especialmente os altamente sensíveis como gerenciadores de senhas, de sites legítimos e evitar quaisquer sites linkados em anúncios.
Mesmo se um anúncio exibir a URL correta para um serviço de software, ainda assim deve ser evitado, pois os atuantes maliciosos repetidamente provaram que podem contornar políticas de anúncio para exibir a URL legítima enquanto linkam para sites impostores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...