El administrador de contraseñas KeePass ha sido utilizado por actores de amenazas, quienes han creado una versión alterada maliciosamente para hacerse con credenciales y bloquear el acceso de las víctimas a sus sistemas con el fin de exigir pagos de rescate.
Los investigadores del equipo de inteligencia de amenazas de WithSecure han encontrado que la campaña lleva activa al menos ocho meses.
En este intervalo los atacantes han distribuido instaladores de KeePass troyanizados para desplegar balizas de Cobalt Strike, extraer credenciales y, en última instancia, lanzar ataques de ransomware en las redes comprometidas.
Al ser de código abierto los atacantes han podido modificar el código fuente del gestor de contraseñas y compilarlo nuevamente con certificados de confianza, creando una versión maliciosa llamada KeeLoader. Dicha variante conserva todas las funciones estándar de KeePass, dificultando su detección.
WithSecure se percató de que el instalador se promocionaba a través de anuncios de Bing dirigidos a páginas de software fraudulentas, diseñadas para simular páginas de descarga legítima.
¿Está Black Basta detrás?
La firma de seguridad asegura que es la primera campaña de ransomware en la que el código fuente de una herramienta de código abierto ampliamente usada habría sido modificada deliberadamente para servir a distintos propósitos maliciosos.
Desde WithSecure apuntan que esta marca de agua Cobalt Strike usada en esta campaña aparece constantemente en balizas y dominios que están vinculados al ransomware Black Basta. Así, especulan con que es probable que la usen actores de amenazas que operan como intermediarios de acceso inicial y colaboran estrechamente con esta operación.
Aunque WithSecure no ha encontrado esta marca de agua específica en otras campañas eso no supone que no se haya visto usada en otros lugares.