Cibercriminosos têm estado a distribuir, há pelo menos oito meses, versões maliciosas do conhecido gestor de palavras-passe KeePass. O objetivo é instalar beacons Cobalt Strike, roubar credenciais e, em última instância, implementar ransomware nas redes comprometidas. A descoberta foi feita pela equipa de Inteligência de Ameaças da WithSecure, após investigar um ataque de ransomware.
Como o KeePass modificado engana e infeta os utilizadores
Os investigadores da WithSecure descobriram que o ataque inicial começou com um instalador malicioso do KeePass, promovido através de anúncios no motor de busca Bing. Estes anúncios direcionavam os utilizadores para sites falsos que se faziam passar pelos canais oficiais do software.
Sendo o KeePass um software de código aberto, os atacantes modificaram o seu código fonte para criar uma versão trojanizada, apelidada de KeeLoader. Esta versão mantém todas as funcionalidades normais de gestão de palavras-passe do KeePass original, mas com uma diferença perigosa: inclui modificações que instalam um beacon Cobalt Strike e exportam a base de dados de passwords do KeePass em formato de texto simples. Estes dados são depois roubados através do beacon.
Ligações a grupos de ransomware e brokers de acesso inicial
A WithSecure refere que as marcas de água digitais (watermarks) do Cobalt Strike utilizadas nesta campanha estão ligadas a um broker de acesso inicial (IAB). Um IAB é um tipo de cibercriminoso que se especializa em obter acesso inicial a redes, vendendo depois esse acesso a outros grupos, como operadores de ransomware. Neste caso, o IAB aparenta estar associado a ataques anteriores do grupo de ransomware Black Basta.
"Esta marca de água é comummente observada no contexto de beacons e domínios relacionados com o ransomware Black Basta. É provável que seja usada por agentes de ameaça que operam como Brokers de Acesso Inicial e que trabalham em proximidade com o Black Basta," explica a WithSecure. A empresa de segurança acrescenta: "Não temos conhecimento de outros incidentes (de ransomware ou outros) que utilizem esta marca de água do beacon Cobalt Strike – o que não significa que não tenham ocorrido."
Foram descobertas múltiplas variantes do KeeLoader, algumas assinadas com certificados digitais legítimos para parecerem autênticas. Estas variantes eram disseminadas através de domínios que recorrem a técnicas de typo-squatting (nomes de domínio visualmente semelhantes ao original para enganar o utilizador).
Funcionalidades de roubo de palavras-passe expandidas
Para além de instalar os beacons Cobalt Strike, o programa KeePass trojanizado incluía funcionalidades específicas para o roubo de palavras-passe. Isto permitia aos atacantes subtrair quaisquer credenciais que fossem inseridas no programa.
"O KeeLoader não foi modificado apenas para atuar como um carregador de malware. A sua funcionalidade foi expandida para facilitar a exfiltração dos dados da base de dados do KeePass," lê-se no relatório da WithSecure. "Quando os dados da base de dados do KeePass eram abertos, as informações de conta, nome de login, password, website e comentários eram também exportadas em formato CSV para a pasta %localappdata% com um nome de ficheiro numérico aleatório (entre 100-999) seguido de .kp."
No ataque investigado pela WithSecure, a intrusão culminou na encriptação dos servidores VMware ESXi da empresa vítima com ransomware.
Uma vasta infraestrutura para disseminar malware
Investigações mais aprofundadas revelaram uma extensa infraestrutura criada para distribuir programas maliciosos disfarçados de ferramentas legítimas, bem como páginas de phishing destinadas a roubar credenciais. O domínio aenys[.]com era utilizado para alojar subdomínios adicionais que se faziam passar por empresas e serviços conhecidos, como WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank e DEX Screener. Cada um destes sites era usado para distribuir diferentes variantes de malware ou para roubar credenciais.
A WithSecure atribui esta atividade, com confiança moderada, ao grupo UNC4696, um agente de ameaça anteriormente ligado a campanhas do Nitrogen Loader. Campanhas anteriores do Nitrogen Loader foram associadas ao ransomware BlackCat/ALPHV.
Como proteger-se: o conselho essencial
Recomenda-se vivamente aos utilizadores que descarreguem software, especialmente aplicações sensíveis como gestores de palavras-passe, apenas a partir dos sites oficiais e legítimos. Evite clicar em sites promovidos em anúncios, mesmo que o anúncio aparente mostrar o URL correto do serviço de software. Os cibercriminosos têm demonstrado repetidamente a capacidade de contornar as políticas de publicidade para exibir URLs legítimos nos anúncios, enquanto, na realidade, direcionam as vítimas para sites impostores.
Nenhum comentário
Seja o primeiro!