Cybercriminelen verspreiden al minstens acht maanden gemanipuleerde versies van de KeePass-wachtwoordmanager. Deze aangepaste software wordt gebruikt om Cobalt Strike-beacons te installeren, inloggegevens te stelen en uiteindelijk ransomware te activeren op geïnfecteerde netwerken.
Het Threat Intelligence-team van WithSecure ontdekte deze campagne tijdens een onderzoek naar een ransomware-aanval. Uit hun analyse bleek dat de aanval begon met een kwaadaardige KeePass-installatie, die via Bing-advertenties werd gepromoot op nepwebsites die leken op legitieme softwarepagina’s.
Omdat KeePass open-source is, konden aanvallers de broncode aanpassen en een gemanipuleerde versie maken, die ze KeeLoader noemen. Deze versie behoudt de normale functionaliteiten van KeePass, maar bevat extra code die een Cobalt Strike-beacon installeert en de wachtwoorddatabase als platte tekst exporteert. Deze gegevens worden vervolgens via de beacon buitgemaakt.
Specifiek watermerk
Volgens WithSecure zijn de gebruikte Cobalt Strike-watermerken in deze campagne gelinkt aan een zogeheten Initial Access Broker (IAB). Dat is een tussenpersoon die vermoedelijk eerder betrokken was bij aanvallen met de Black Basta-ransomware. Een Cobalt Strike-watermerk is een unieke code in een beacon die gekoppeld is aan de gebruikte licentie.
WithSecure legt uit dat dit specifieke watermerk vaak voorkomt in verband met beacons en domeinen die te maken hebben met Black Basta-aanvallen. De groep achter deze aanvallen lijkt samen te werken met de ransomwarebende als IAB. Hoewel er geen andere bekende gevallen zijn waarin dit specifieke watermerk is gebruikt, betekent dat niet dat het niet elders is ingezet.
Onderzoekers ontdekten verschillende varianten van KeeLoader die ondertekend waren met legitieme certificaten. Criminelen verspreiden die via domeinnamen die lijken op KeePass. Denk aan keeppaswrd[.]com, keegass[.]com en KeePass[.]me. De website keeppaswrd[.]com is nog steeds actief en verspreidt nog altijd de besmette installer. Dit meldt BleepingComputer.
Naast het verspreiden van Cobalt Strike bevat de kwaadaardige KeePass-versie ook functionaliteit om ingevoerde wachtwoorden direct te stelen. Volgens WithSecure is KeeLoader niet alleen aangepast om malware te installeren. Men breidde het ook uit met functies om data uit KeePass-databases buit te maken. Wanneer de database wordt geopend, worden gegevens zoals accountnamen, gebruikersnamen, wachtwoorden, websites en opmerkingen opgeslagen als een CSV-bestand in de lokale map van de gebruiker met een willekeurige bestandsnaam die eindigt op .kp.
De aanval die WithSecure onderzocht, leidde uiteindelijk tot het versleutelen van VMware ESXi-servers met ransomware.
Uitgebreid netwerk
Verder onderzoek wees uit dat de aanvallers een uitgebreid netwerk bouwden om schadelijke software te verspreiden. Die deed zich voor als legitieme programma’s en maakten phishingpagina’s om inloggegevens te stelen. De domeinnaam aenys[.]com werd gebruikt om subdomeinen te hosten die bekende bedrijven en diensten imiteerden. Denk aan WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank en DEX Screener.
Deze nepwebsites dienden elk een ander doel: ofwel het verspreiden van verschillende malwarevarianten. Dit maakte het stelen van gebruikersgegevens mogelijk.
WithSecure schrijft deze campagne met redelijke zekerheid toe aan UNC4696, een hackersgroep die eerder in verband werd gebracht met de zogenaamde Nitrogen Loader-campagnes. Die campagnes zijn op hun beurt gelinkt aan de ransomwaregroepen BlackCat/ALPHV.
Gebruikers wordt dringend aangeraden om software, zeker gevoelige toepassingen zoals wachtwoordmanagers, alleen te downloaden van officiële websites. Zelfs als een advertentie het correcte webadres toont, is voorzichtigheid geboden. Cybercriminelen hebben immers vaker aangetoond dat ze advertenties kunnen manipuleren zodat ze naar nagemaakte websites leiden, ondanks dat de weergegeven URL legitiem lijkt.