A WithSecure’s Threat Intelligence szakemberei egy olyan kampányt tártak fel, amelyben módosított KeePass jelszókezelő alkalmazást terjesztettek azzal a céllal, hogy a felhasználók rendszereibe kártékony vezérlőkomponenseket juttassanak be. A támadás központi eleme egy olyan eszköz, amely lehetővé teszi a támadók számára, hogy a célrendszereket távolról irányítsák, adatokat gyűjtsenek, és előkészítsék a további behatolásokat. Ezt az eszközt Cobalt Strike beacon-nek nevezik. Ez egy backdoor, amely a támadó szerverrel folyamatos kapcsolatot tart fenn, parancsokat fogad, és érzékeny információkat továbbít. Eredetileg penetrációs tesztelésre fejlesztették, de napjainkra a kiberbűnözők egyik leggyakrabban alkalmazott eszközévé vált.
A támadók hamis KeePass telepítőt hoztak létre, amelyet különböző keresőhirdetéseken keresztül népszerűsítettek. A hamis hirdetések valósnak tűnő szoftverletöltő oldalakra vezették a gyanútlan felhasználókat. A nyílt forráskódú KeePass alkalmazás kódját a támadók úgy módosították, hogy a hagyományos jelszókezelő funkciók teljes egészében megmaradtak, miközben a háttérben egy KeeLoader nevű trójai program települt. Ez a kártékony komponens észrevétlenül telepíti a fent említett beacon-t, amelyen keresztül a támadók távolról parancsokat küldhetnek, adatokat gyűjthetnek, illetve további kártevőket tölthetnek le. Továbbá a KeeLoader kiexportálta a KeePass jelszóadatbázist – beleértve a felhasználóneveket, jelszavakat, URL-eket és megjegyzéseket –CSV formátumba, majd a támadó felé továbbította.
A kutatók több különböző változatot is azonosítottak a KeeLoader-ből, köztük olyat is, amelyet hiteles tanúsítvánnyal írtak alá, ezzel jelentősen megnehezítve az automatikus észlelést. A kompromittált telepítők különféle typo-squatting domainekről – például keeppaswrd[.]com, keegass[.]com, KeePass[.]me – voltak elérhetők.
További elemzések során kiderült, hogy a támadók kiterjedt infrastruktúrát építettek ki, amely több ismert alkalmazás és szolgáltatás – például WinSCP, Phantom Wallet, PumpFun, Sallie Mae vagy DEX Screener – hamisított aloldalait is tartalmazta. Ezek az oldalak más kártékony programokat, jelszólopó eszközöket vagy adathalász űrlapokat tartalmaztak.
A WithSecure a UNC4696 elnevezésű fenyegetési szereplőhöz köti a kampányt, amely korábban a Nitrogen Loader és a BlackCat/ALPHV zsarolóvírussal is kapcsolatban állt.
A most feltárt támadási módszertan ékes példája annak, hogy mennyire fontos kizárólag hiteles, hivatalos forrásból beszerezni a szoftvereket. Különösen olyanokat, amelyek érzékeny információk, például jelszavak tárolására szolgálnak.