Los actores de amenaza han distribuido versiones troyanizadas del Administrador de contraseñas Keepass durante al menos ocho meses para instalar etiquetas llamativas de cobalto, robar información de identificación y, en última instancia, implementar ransomware en la red violada.
El equipo de inteligencia sobre las amenazas de Scide descubrió la campaña después de ser llevado a investigar un ataque de ransomware. Los investigadores descubrieron que el ataque había comenzado con un instalador de Keepass malicioso promovido a través de anuncios de Bing que favorecía los sitios de software falsos.
Como Keepass es de código abierto, las partes interesadas de amenaza han cambiado el código fuente para crear una versión troyanizada, apodada Keeloader, que contiene todas las características normales de administración de contraseñas. Sin embargo, incluye modificaciones que instalan una etiqueta sorprendente de cobalto y exportan la base de datos de contraseña Keepass como ClarTetext, que luego se roba a través de la etiqueta.
La seguridad indica que la marca de agua de Cobalt Strike utilizada en esta campaña está vinculada a un corredor de acceso inicial (IAB) que se asociaría con los ataques de ransomware Basta Black Basta en el pasado.
Una marca de agua Cobalt Strike es un identificador único integrado en una etiqueta de licencia utilizada para generar la carga útil.
“Esta filigrana se observa comúnmente en el contexto de las balizas y áreas relacionadas con el ransomware negro en Basta. Probablemente sea utilizado por los actores de la amenaza que operan como corredores de acceso inicial que trabajan en estrecha colaboración con Black Basta”, explica Con seguridad.
“No conocemos ningún otro incidente (ransomware u otro) usando esta filigrana de etiqueta de tipificación de cobalto, eso no significa que no haya sucedido”.
Los investigadores descubrieron que se habían descubierto varias variantes de Keeloader, firmado con certificados legítimos y distribuidas en áreas de escritura como Keeppaswrd[.]com, Keegass[.]com, y Keepass[.]A mí.
BleepingCompute confirmó que el Keeppaswrd[.]El sitio web de COM aún está activo y continúa distribuyendo el programa de instalación de Trrojanized Keepass [VirusTotal].
Fuente: BleepingCompute
Además de dejar caer etiquetas de Cobalt, el programa Trojanizado Keepass incluyó características de vuelo de contraseña que permitieron a los actores de amenaza robar toda la información de identificación que ha ingresado al programa.
“Keeloader no solo se modificó en la medida en que podía actuar como un cargador de malware. Su funcionalidad se ha extendido para facilitar la exfiltración de los datos de la base de datos Keepass”, lee el informe WithSecure.
“Cuando se han abierto los datos de la base de datos Keepass; la cuenta, el nombre de la conexión, la contraseña, el sitio web y la información sobre los comentarios también se exportan a formato CSV bajo% localAppData% como .kp. Este valor aleatorio completo es entre 100 y 999”.
Fuente: WithSecure
Al final, el ataque estudiado por WithSecure lideró los servidores ESXI VMware de la compañía encriptados por Ransomware.
Una encuesta más en profundidad sobre la campaña ha revelado una infraestructura en profundidad creada para distribuir programas maliciosos disfrazados de herramientas y páginas legítimas de phishing diseñadas para robar referencias.
Los Aenys[.]El dominio COM se utilizó para acomodar subdominios adicionales que han identificado la identidad de empresas y servicios conocidos, como WinsCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank y Dex Screen.
Cada uno de ellos se ha utilizado para distribuir diferentes variantes de malware o robar información de identificación.
Con una seguridad atribuye esta actividad con una confianza moderada para UNC4696, un grupo de actores de amenaza previamente vinculados a campañas de cargadores de nitrógeno. Las campañas de nitrógeno anteriores se vincularon al ransomware BlackCat / AlphV.
Siempre es aconsejable que los usuarios descarguen software, en particular el software muy confidencial, como los administradores de contraseñas, desde sitios legítimos y para evitar todos los sitios vinculados en anuncios.
Incluso si un anuncio muestra la URL correcta para un servicio de software, siempre debe evitarse, porque los actores de la amenaza han demostrado varias veces que pueden pasar por alto las políticas publicitarias para mostrar la URL legítima mientras se vinculan al impostor de los sitios.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.