Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass

Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass
Используя поддельные веб-сайты и рекламу в Bing, группа UNC4696 распространяет опасную модификацию KeePass
На протяжении как минимум восьми месяцев группа киберпреступников распространяет вредоносные варианты менеджера паролей KeePass, применяя их для установки Cobalt Strike, хищения учётных данных и дальнейшего запуска программ-вымогателей в корпоративных сетях.

Кампания была выявлена командой WithSecure в ходе расследования инцидента с применением вымогателя, пострадавшая организация которой потеряла доступ к серверам VMware ESXi.

Атака начиналась с загрузки поддельного установщика KeePass через рекламу в Bing, перенаправляющую пользователей на фальшивые сайты. KeePass является проектом с открытым исходным кодом, что позволило злоумышленникам изменить исходники, добавив вредоносную функциональность в рабочую сборку программы. Полученная модификация, получившая название KeeLoader, сохраняла весь стандартный интерфейс KeePass, но дополнительно устанавливала Cobalt Strike Beacon — инструмент для дальнейшего контроля за заражённой системой. Одновременно программа экспортировала всю базу паролей KeePass в открытом виде и передавала её атакующим через тот же Beacon.

Согласно отчёту WithSecure, кампания использовала определённый watermark — уникальный идентификатор в теле Beacon, связанный с лицензией Cobalt Strike. Этот watermark ранее встречался в атаках группировки Black Basta, известной применением вымогателя и сотрудничеством с брокерами первоначального доступа (Initial Access Brokers). В данном случае именно такой IAB предположительно стоял за распространением KeeLoader.

Кроме кражи паролей, модифицированная программа экспортировала дополнительные данные базы — логины, URL-адреса, комментарии — в CSV-файл с расширением .kp, сохраняемый в папке %localappdata%. Имя файла представляло собой случайное число от 100 до 999. Эти данные также отправлялись атакующим, что позволило получить доступ ко всем учетным записям пользователя.

Примечательно, что в ходе расследования специалисты нашли несколько вариантов KeeLoader, подписанных подлинными цифровыми сертификатами. Для их распространения использовались сайты-двойники, такие как keeppaswrd[.]com, keegass[.]com и KeePass[.]me. Некоторые из этих доменов, в том числе keeppaswrd[.]com, до сих пор активны и по-прежнему распространяют вредоносные версии KeePass, что было подтверждено через VirusTotal.

Поддельный сайт KeePass, продвигающий троянизированный установщик ( BleepingComputer )

Инфраструктура злоумышленников оказалась довольно масштабной: они создавали фейковые страницы популярных сервисов, включая WinSCP, Phantom Wallet, Sallie Mae и DEX Screener. Через них распространялись иные варианты вредоносного ПО или собирались учётные данные пользователей. Один из ключевых доменов, использовавшихся в рамках кампании — aenys[.]com — размещал на своих поддоменах эти поддельные сайты.

Аналитики WithSecure связывают данную активность с группой UNC4696, которую ранее ассоциировали с кампанией Nitrogen Loader. Последняя, в свою очередь, ранее связывалась с операторами вымогателя BlackCat/ALPHV.

Подобные атаки ещё раз подтверждают, что даже корректный домен в рекламе не является гарантией безопасности. Злоумышленники успешно обходят политику рекламных сетей, подставляя подлинные URL-адреса и маскируя переходы на вредоносные сайты. Поэтому для загрузки критически важных программ, таких как менеджеры паролей, крайне важно использовать только официальные источники и избегать любых ссылок из рекламы.


Распечатать
29 августа 2025 В Иваново мужчина украл смартфоны на сумму 3 миллиона рублей
29 августа 2025 Спасатель оценил шансы на выживание российского пловца в Босфоре
29 августа 2025 США согласились поставить Украине 3350 авиационных ракет ERAM
29 августа 2025 Канада ввела санкции против лидера Гагаузии Евгении Гуцул и молдавских политиков
28 августа 2025 Сотрудник правоохранительных органов из Махачкалы трагически скончался во время погони за правонарушителем
28 августа 2025 На севере Молдовы мужчина прокатился на крыше BMW
28 августа 2025 В Махачкале разукрасили изображения участников "СВО" на проспекте Петра I
28 августа 2025 Министерство иностранных дел Италии сомневается в том, что конфликт между Россией и Украиной завершится до конца года
28 августа 2025 Фабрике Морозовых угрожает опасность из-за строительных планов Дениса Бородако
28 августа 2025 В Забайкалье молодой человек умер на следующий день после похорон своей матери
28 августа 2025 Полпред в СЗФО Александр Гуцан имеет возможность занять должность генерального прокурора России
28 августа 2025 В Куйбышевском районе Донецка местные жители затевают драки за емкости с водой
28 августа 2025 Трамп считает, что ожидания Зеленского и Европы в отношении Украины неосуществимы
28 августа 2025 Руководитель «Орехово-Медведковской ОПГ» Шарапов отправился на фронт вместо отбывания срока в исправительном учреждении
28 августа 2025 Италия рассматривает варианты предоставления Украине гарантий безопасности, при этом исключая военное присутствие
28 августа 2025 Пожары в районе Геленджика: местные власти просят жителей о помощи
28 августа 2025 Атака России на Киев нанесла ущерб посольству Азербайджана
28 августа 2025 Дело Мамедали Агаева расследуется: контакты с Азербайджаном и многомиллионная кража в Театре сатиры
28 августа 2025 В Москве выбрана мера пресечения для обвиняемого в нападении на офицеров полиции
28 августа 2025 Истребитель в Польше потерпел аварию во время подготовки к авиашоу