2025-05-20 08:39:01
亚汇网5月20日消息,网络安全公司WithSecure最新披露[该公司在调查一起勒索软件攻击时,发现了这一恶意活动。攻击始于通过Bing广告推广的恶意KeePass安装程序,这些广告引导用户访问伪装成合法软件的网站。由于KeePass是开源软件,威胁行为者修改了源代码,开发出名为KeeLoader的木马版本,看似正常运行密码管理功能,却暗藏玄机:会安装CobaltStrike信标,并以明文形式导出KeePass密码数据库,随后通过信标窃取数据。据悉,此次活动中使用的CobaltStrike水印关联BlackBasta勒索软件,指向同一个初始访问代理(IAB)。研究人员发现多个KeeLoader变种,这些变种使用合法证书签名,并通过拼写错误域名(如keeppaswrdcom、keegasscom)传播。亚汇网援引BleepingComputer博文介绍,如keeppaswrdcom等部分伪装网站仍在活动,继续分发恶意KeePass安装程序。此外,KeeLoader不仅植入CobaltStrike信标,还具备密码窃取功能,能直接捕获用户输入的凭据,并将数据库数据以CSV格式导出,存储在本地目录下,并导致受害公司的VMwareESXi服务器被勒索软件加密。进一步调查揭示,威胁行为者构建了庞大基础设施,分发伪装成合法工具的恶意程序,并通过钓鱼页面窃取凭据。例如,aenyscom域名托管多个子域名,伪装成WinSCP、PumpFun等知名服务,用于分发不同恶意软件或窃取凭据。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
