менеджер паролей
Пользователь хотел защитить свои пароли, но собственными руками запустил злоумышленников в организацию. К такому неожиданному выводу привело недавнее расследование атаки шифровальщика-вымогателя. Инцидент начался с того, что один из сотрудников скачал популярный менеджер паролей KeePass. Важное «но»: он зашел на сайт-фальшивку. Исходный код KeePass открыт, поэтому злоумышленники без проблем скопировали его, внесли изменения и добавили вредоносные функции. Затем они повторно скомпилировали программу и распространили ее через поддельные сайты, которые продвигали через легитимные системы онлайн-рекламы.
Компрометация менеджера паролей — серьезная угроза и для обычных пользователей, и для организаций. Как заметить ее и как защититься?
Что делал фальшивый KeePass
Вредоносная кампания длилась как минимум 8 месяцев начиная с середины 2024 года. Злоумышленники создавали поддельные сайты, имитирующие официальный сайт KeePass, и использовали вредоносные рекламные объявления (malvertising), чтобы перенаправлять пользователей, ищущих KeePass, на домены с многообещающими именами вроде keeppaswrd, keebass и KeePass-download.
Если жертва скачивала KeePass с фальшивого сайта, то менеджер паролей исправно выполнял основную функцию, но также сохранял все пароли из открытой базы данных в незашифрованный текстовый файл, а еще устанавливал в системе «маячок» Cobalt Strike — инструмента, используемого как для оценки защищенности организаций, так и для реальных кибератак.
С помощью Cobalt Strike атакующие смогли не только украсть экспортированные пароли, но и использовать их для захвата дополнительных систем и в конечном счете зашифровать серверы ESXi в организации.
Поискав следы этой атаки в Интернете, исследователи обнаружили пять разных троянизированных модификаций KeePass. Некоторые из них были устроены более просто — сразу выгружали украденные пароли на сервер атакующих.
Зловред повышенной скрытности
В том, чтобы подсунуть жертве вредоносное ПО заодно с полезной программой, нет ничего нового. Но обычно злоумышленники просто добавляют в инсталляционный пакет вредоносные файлы, поэтому защитные решения на компьютере (если они есть) обнаруживают этот «довесок». Атака с фальшивым KeePass была продумана значительно лучше и старательно скрывалась от защитных инструментов.
Все инсталляционные пакеты лже-KeePass были подписаны действительной цифровой подписью, поэтому не активировали тревожно выглядящих предупреждений Windows. Пять найденных дистрибутивов имели сертификаты четырех разных фирм-разработчиков ПО. Легитимный KeePass подписан другим сертификатом, но мало кто смотрит на строку «Издатель» в предупреждениях Windows.
Троянские функции были запрятаны внутри основной логики программы — они запускались лишь при открытии базы данных с паролями. То есть сначала приложение запускается как обычно, предлагает пользователю выбрать базу данных, ввести мастер-пароль от нее — и только затем начинает выполнять действия, которые защитные механизмы могут счесть подозрительными. Это усложняет обнаружение атаки в «песочницах» и с помощью других средств анализа, выявляющих ненормальное поведение приложения.
Не только KeePass
Исследуя вредоносные сайты, раздающие троянский KeePass, исследователи обнаружили «соседние» сайты на том же домене. Там рекламировали другое легитимное ПО, включая безопасный менеджер файлов WinSCP и ряд приложений для работы с криптовалютой. Они были переработаны менее глубоко и всего лишь устанавливали жертвам известное вредоносное ПО Nitrogen Loader.
Исходя из этого, можно предположить, что троянский KeePass разработали брокеры первоначального доступа (initial access brokers) — преступники, которые с помощью кражи паролей и другой конфиденциальной информации находят возможности входа в компьютерные сети любых компаний, а затем продают этот доступ другим злоумышленникам. Покупателями чаще всего становятся банды вымогателей.
Угроза каждому
Распространители вредоносного ПО, крадущего пароли, не избирательны и атакуют любых доверчивых пользователей. Пароли, финансовые данные, любую ценную информацию, которую удается украсть, преступники анализируют, разделяют на группы и продают другим злоумышленникам то, что тем требуется для их подпольного бизнеса. Вымогатели покупают пароли к корпоративным сетям, мошенники — личные данные и номера карт, спамеры — учетные данные аккаунтов в соцсетях или на игровых серверах.
Поэтому бизнес-модель распространителей стилеров — брать все, что плохо лежит, и использовать для распространения зловредов все виды приманок. Троян может поджидать в любом виде ПО — от игр и менеджеров паролей до специализированных приложений для бухгалтеров или архитекторов.
Как защитить домашний компьютер
Скачивайте приложения только с официального сайта производителя или через крупнейшие магазины приложений.
Уделяйте внимание цифровым подписям. Когда вы запускаете впервые скачанную программу, Windows выводит предупреждение и указывает в строке «Издатель» название владельца цифровой подписи. Убедитесь, что написанное там соответствует данным разработчика. При сомнениях проверяйте информацию на официальном сайте.
Осторожно подходите к рекламе в поиске. Введя название приложения, внимательно посмотрите на первые 4–5 результатов, за исключением рекламных объявлений. Среди них, как правило, будет официальный сайт производителя. Если вы не уверены, что какой-то из результатов приведет на сайт производителя, лучше перепроверить адрес официального сайта в крупных магазинах приложений и даже на Wikipedia.
Обязательно используйте полноценную защиту на всех компьютерах и смартфонах, например Kaspersky Premium. Это убережет вас от заражения большинством образцов вредоносного ПО и от перехода на опасные сайты.
Не отказывайтесь от менеджера паролей! Хотя жертвой изощренной атаки стал популярный менеджер паролей, сама идея зашифрованного хранения важных данных актуальна как никогда. В подписки Kaspersky Plus и Kaspersky Premium уже входит Kaspersky Password Manager, позволяющий надежно хранить ваши секреты.
Как защитить организацию от инфостилеров и брокеров первоначального доступа
Использование легитимных учетных данных в атаках — популярнейшая тактика злоумышленников. Чтобы усложнить кражу и использование корпоративных учеток, следуйте советам для организаций по борьбе с инфостилерами.
Для борьбы с троянизированным ПО, которое открывает злоумышленникам прямой доступ в сеть, дополнительно мы рекомендуем:
- ограничить загрузку и запуск недоверенного ПО с помощью списков разрешенных приложений (allowlists). Среди критериев, используемых для allowlist, подойдут «приложения определенного производителя» и «приложения, подписанные конкретным сертификатом». Последний вариант помог бы в случае с KeePass и предотвратил бы запуск известного приложения, подписанного посторонним сертификатом;
- внедрить централизованный подход к мониторингу и реагированию, включающий установку сенсоров (EDR) на каждом рабочем компьютере и сервере и анализ этой телеметрии решениями SIEM или XDR. Kaspersky Symphony XDR подойдет для комплексного решения этой задачи;
- расширить обучение сотрудников. Кроме внимательности к фишингу нужно обучать команду распознаванию поддельного ПО, вредоносной рекламы и других методов социальной инженерии. Тут может помочь платформа Kaspersky Automated Security Awareness.
Советы