Эксперты «Касперского» зафиксировали масштабную кампанию по распространению поддельной версии менеджера паролей KeePass, которая ведётся с середины 2024 года.
Злоумышленники создавали фальшивые сайты, имитирующие официальный ресурс KeePass, и с помощью вредоносной рекламы перенаправляли пользователей на поддельные страницы загрузки.
Модифицированная версия программы выполняла свои основные функции, но при этом тайно сохраняла все пароли из базы в незашифрованный текстовый файл, что позволяло хакерам получить доступ к учетным данным. Кроме того, вредоносное ПО устанавливалось с помощью легитимных цифровых подписей, что позволяло обходить защитные механизмы операционных систем и антивирусов.
Вредоносный менеджер паролей также устанавливал в систему «маячок» Cobalt Strike — инструмент, используемый для кибератак и закрепления в заражённых сетях. С его помощью злоумышленники могли не только украсть пароли, но и получить контроль над корпоративными системами, что в ряде случаев приводило к шифрованию серверов и остановке бизнес-процессов.
Аналитики связывают эту кампанию с деятельностью группировки Black Basta, известной своими атаками с использованием программ-вымогателей.
Для защиты от подобных угроз специалисты рекомендуют скачивать KeePass исключительно с официального сайта, тщательно проверять цифровые подписи установочных файлов и использовать современные средства защиты конечных точек.
Ранее НТР 24 сообщал, что эксперт перечислил признаки прослушки смартфона.
