Зловмисники поширюють підроблений KeePass, який краде паролі й встановлює шкідливе ПЗ
Хакери щонайменше вісім місяців поширюють шкідливу версію KeePass, яка встановлює Cobalt Strike, викрадає паролі та додає програми, які шкодять пристрою.
Хакери щонайменше вісім місяців поширюють шкідливу версію KeePass, яка встановлює Cobalt Strike, викрадає паролі та додає програми, які шкодять пристрою.
Кіберзлочинці розгорнули масштабну кампанію з поширення шкідливої версії KeePass — популярного менеджера паролів. Шкідливе ПЗ зберігає функціональність оригінального інструменту, але вивантажує паролі у відкритому вигляді та заражає комп’ютери програмою-вимагачем. Про це повідомив BleepingComputer із посиланням на дослідників із компанії WithSecure Threat Intelligence.
Інцидент почався зі звичайної реклами в мережі Bing: користувач клікнув на посилання, думаючи, що переходить на офіційний сайт KeePass. Натомість він потрапив на типу сквотинговий сайт — майже точну копію справжнього ресурсу, але з іншим доменом.
Що таке KeePass?
KeePass — це один із найпопулярніших безкоштовних менеджерів паролів з відкритим кодом. Його відкритість дає змогу зловмисникам модифікувати оригінальний код, що й зробило можливим цю атаку. Користувачам радять завантажувати подібне ПЗ виключно з офіційних сайтів або перевірених джерел.
Оскільки KeePass є проєктом із відкритим кодом, зловмисники зберегли в підробленій версії всі основні функції. Але паралельно додали маячок Cobalt Strike, який передає зловмисникам базу паролів у незашифрованому вигляді. Після цього зловмисники використали отримані облікові дані, щоб проникнути в корпоративну мережу і зашифрувати дані за допомогою ransomware.
WithSecure вважає, що за атакою стоїть група UNC4696, яка, ймовірно, є частиною мережі Black Basta — однієї з найвідоміших операцій з розповсюдження програм-вимагачів. Раніше цю групу також пов’язували з Nitrogen Loader та вже неактивною групою BlackCat/ALPHV.
Хоча наразі підтверджено лише один подібний випадок, експерти попереджають, що реальна кількість інцидентів може бути більшою. Водночас шкідливий сайт усе ще активний і продовжує поширювати заражені версії популярного ПЗ. За даними WithSecure, за сайтом стоїть розгалужена інфраструктура, створена для масового розповсюдження шкідливих програм під виглядом легітимних утиліт.
Нагадаємо, нещодавно стався масштабний витік особистих даних. Хакер під ніком Machine1337 заявив, що отримав дані 89 млн акаунтів гравців у Steam.
Творець сайту про витік даних HaveIBeenPwned попався на фішинговий email. Як хакеру вдалося спіймати на помилці експерта з кібербезпеки
Творець сайту про витік даних HaveIBeenPwned попався на фішинговий email. Як хакеру вдалося спіймати на помилці експерта з кібербезпеки
У Google стався витік 2500 сторінок внутрішньої документації й тепер пошуковик звинувачують у «брехні». У чому хитрість алгоритмів
У Google стався витік 2500 сторінок внутрішньої документації й тепер пошуковик звинувачують у «брехні». У чому хитрість алгоритмів
Через кібератаку у Casio стався витік внутрішньої документації. Компанія оприлюднила результати розслідування
Через кібератаку у Casio стався витік внутрішньої документації. Компанія оприлюднила результати розслідування
Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
