Злоумышленники вновь использовали излюбленную тактику — маскировку вредоносного ПО под полезные программы. На этот раз под прицелом оказался популярный менеджер паролей KeePass. Специалисты «Лаборатории Касперского» выявили, что с середины 2024 года в сети активно распространялась измененная версия приложения через поддельные сайты.
Жертвы, скачавшие KeePass с фальшивых ресурсов, получали функциональный менеджер паролей, но с «сюрпризом». Помимо основной задачи, программа тайно сохраняла все пароли из базы данных в незашифрованный текстовый файл. Кроме того, она устанавливала в системе «маячок» Cobalt Strike — инструмент, который киберпреступники используют для атак на корпоративные сети.
С помощью украденных данных злоумышленники не только получали доступ к учетным записям, но и проникали в другие системы, а в некоторых случаях шифровали серверы ESXi, что могло парализовать работу целых организаций.
Обычно хакеры просто добавляют вредоносный код в установочный пакет, и антивирусы его находят. Однако в этом случае атака была тщательно замаскирована — фальшивый KeePass работал корректно, а вредоносная активность скрывалась от защитных решений.
Эксперты рекомендуют скачивать программы только с официальных сайтов и проверять домены перед загрузкой. Также важно использовать надежные антивирусные решения, способные обнаруживать сложные угрозы.
