Cybercriminali stanno distribuendo una versione compromessa di un noto password manager, sfruttandola per rubare dati e installare ransomware. Lo segnalano i ricercatori della divisione Threat Intelligence di WithSecure, che hanno recentemente individuato un attacco attivo.
Secondo un’analisi approfondita pubblicata di recente, uno dei clienti dell’azienda ha scaricato quello che credeva essere KeePass, un noto gestore di password open-source. L’utente è stato indirizzato verso un sito tramite una pubblicità sulla rete Bing, dove ha trovato una pagina identica a quella ufficiale.
In realtà, si trattava di un sito di typosquatting, ovvero un dominio creato appositamente per trarre in inganno chi commette errori di digitazione. Gli attaccanti hanno mantenuto tutte le funzionalità del vero KeePass (sfruttando il fatto che il software sia open-source) ma hanno integrato un componente malevolo basato su Cobalt Strike, strumento comunemente utilizzato per movimenti laterali e diffusione di malware nelle reti violate.
Pensate a difendervi
La versione compromessa del password manager era progettata per esportare tutte le password salvate in un database in chiaro, che veniva successivamente trasmesso agli attaccanti tramite un beacon di Cobalt Strike. Utilizzando le credenziali ottenute, i cybercriminali hanno quindi ottenuto accesso alla rete aziendale e distribuito un ransomware. È in questa fase che è stato richiesto l’intervento di WithSecure.
Secondo l’azienda, la campagna presenta tutti gli elementi tipici di un Initial Access Broker (IAB), ovvero un gruppo specializzato nell’ottenere accesso a reti aziendali per poi rivendere l’accesso ad altri collettivi di cybercriminali. In questo caso specifico, il gruppo è probabilmente collegato a Black Basta, noto operatore ransomware, ed è attualmente tracciato come UNC4696.
In passato, questo gruppo è stato associato a campagne di Nitrogen Loader, come riportato anche da BleepingComputer. Le versioni precedenti di Nitrogen erano state a loro volta collegate al gruppo BlackCat/ALPHV, oggi non più attivo.
Al momento, questo è l’unico attacco osservato, ma WithSecure mette in guardia: "Non siamo a conoscenza di altri incidenti (ransomware o di altro tipo) che utilizzino questo watermark del beacon di Cobalt Strike, ciò non significa che non siano avvenuti."
Il sito web di typosquatting che ospita la versione malevola di KeePass risulta ancora attivo e continua a diffondere malware a utenti ignari. Secondo WithSecure, dietro a questa infrastruttura c’è un sistema complesso progettato per distribuire numerosi malware, mascherati da strumenti legittimi.
Via BleepingComputer