网络安全公司WithSecure披露，黑客通过篡改KeePass密码管理器传播恶意版本，至少持续八个月。攻击者通过Bing广告推广恶意KeePass安装程序，用户访问伪装成合法软件的网站后，下载了名为KeeLoader的木马版本。该木马表面上正常运行密码管理功能，实则暗中安装Cobalt Strike信标，窃取用户凭据，并在被攻破的网络上部署勒索软件。此次攻击与Black Basta勒索软件有关，且部分伪装网站仍在活动，持续分发恶意KeePass安装程序，对用户数据安全构成严重威胁。

⚠️ KeePass密码管理器被黑客篡改，通过Bing广告传播恶意版本，用户需警惕下载来源。

🔑 恶意软件KeeLoader伪装成正常KeePass，暗中安装Cobalt Strike信标，窃取用户凭据及导出明文密码数据库。

🔗 攻击与Black Basta勒索软件有关，指向同一初始访问代理（IAB），造成VMware ESXi服务器被勒索软件加密。

🌐 黑客构建庞大基础设施，通过拼写错误域名和伪装成WinSCP、PumpFun等知名服务，分发恶意程序和钓鱼页面。

IT之家 5 月 20 日消息，网络安全公司 WithSecure 最新披露 [PDF]，网络黑客至少在过去八个月内，通过篡改 KeePass 密码管理器，传播恶意版本，安装 Cobalt Strike 信标，窃取用户凭据，并在被攻破的网络上部署勒索软件。

该公司在调查一起勒索软件攻击时，发现了这一恶意活动。攻击始于通过 Bing 广告推广的恶意 KeePass 安装程序，这些广告引导用户访问伪装成合法软件的网站。

由于 KeePass 是开源软件，威胁行为者修改了源代码，开发出名为 KeeLoader 的木马版本，看似正常运行密码管理功能，却暗藏玄机：会安装 Cobalt Strike 信标，并以明文形式导出 KeePass 密码数据库，随后通过信标窃取数据。

据悉，此次活动中使用的 Cobalt Strike 水印关联 Black Basta 勒索软件，指向同一个初始访问代理（IAB）。

研究人员发现多个 KeeLoader 变种，这些变种使用合法证书签名，并通过拼写错误域名（如 keeppaswrdcom、keegasscom）传播。

IT之家援引 BleepingComputer 博文介绍，如 keeppaswrdcom 等部分伪装网站仍在活动，继续分发恶意 KeePass 安装程序。

此外，KeeLoader 不仅植入 Cobalt Strike 信标，还具备密码窃取功能，能直接捕获用户输入的凭据，并将数据库数据以 CSV 格式导出，存储在本地目录下，并导致受害公司的 VMware ESXi 服务器被勒索软件加密。

进一步调查揭示，威胁行为者构建了庞大基础设施，分发伪装成合法工具的恶意程序，并通过钓鱼页面窃取凭据。例如，aenyscom 域名托管多个子域名，伪装成 WinSCP、PumpFun 等知名服务，用于分发不同恶意软件或窃取凭据。