5 月 20 日消息，網絡安全公司 WithSecure 最新披露 [PDF]，網絡黑客至少在過去八個月內，通過篡改 KeePass 密碼管理器，傳播惡意版本，安裝 Cobalt Strike 信標，竊取用戶憑據，并在被攻破的網絡上部署勒索軟件。

　　該公司在調查一起勒索軟件攻擊時，發現了這一惡意活動。攻擊始于通過 Bing 廣告推廣的惡意 KeePass 安裝程序，這些廣告引導用戶訪問偽裝成合法軟件的網站。

　　由于 KeePass 是開源軟件，威脅行為者修改了源代碼，開發出名為 KeeLoader 的木馬版本，看似正常運行密碼管理功能，卻暗藏玄機：會安裝 Cobalt Strike 信標，并以明文形式導出 KeePass 密碼數據庫，隨后通過信標竊取數據。

　　據悉，此次活動中使用的 Cobalt Strike 水印關聯 Black Basta 勒索軟件，指向同一個初始訪問代理(IAB)。

　　研究人員發現多個 KeeLoader 變種，這些變種使用合法證書簽名，并通過拼寫錯誤域名(如 keeppaswrdcom、keegasscom)傳播。

　　IT之家援引 BleepingComputer 博文介紹，如 keeppaswrdcom 等部分偽裝網站仍在活動，繼續分發惡意 KeePass 安裝程序。

　　此外，KeeLoader 不僅植入 Cobalt Strike 信標，還具備密碼竊取功能，能直接捕獲用戶輸入的憑據，并將數據庫數據以 CSV 格式導出，存儲在本地目錄下，并導致受害公司的 VMware ESXi 服務器被勒索軟件加密。

　　進一步調查揭示，威脅行為者構建了龐大基礎設施，分發偽裝成合法工具的惡意程序，并通過釣魚頁面竊取憑據。例如，aenyscom 域名托管多個子域名，偽裝成 WinSCP、PumpFun 等知名服務，用于分發不同惡意軟件或竊取憑據。