Trójai KeePass
A WithSecure jelentése szerint egy kifinomult kibertámadást azonosítottak, amely során a népszerű nyílt forráskódú jelszókezelő, a KeePass trójai programmal fertőzött változatát használták fel. A támadók módosították a KeePass forráskódját, és legitim tanúsítványokkal írták alá, így a fertőzött telepítő megbízhatónak tűnt. Ezt követően keresőmotorokon keresztül terjesztették a hamisított verziót, amely titokban ellopta a felhasználók jelszó-adatbázisait, és további káros szoftverek, például a Cobalt Strike beépülők telepítésére szolgált.
A vizsgálat során kiderült, hogy a támadás mögött egy aktív Initial Access Broker áll, amely az elmúlt két évben számos zsarolóvírusos támadásban vett részt. A kampány legalább nyolc hónapig tartott, és valószínűleg világszerte számos áldozatot érintett, akik közül sokan nem is tudnak a kompromittálásról.
A támadók által alkalmazott módszerek közé tartozott a keresőmotoros hirdetéseken keresztüli terjesztés (malvertising), amely során hamis szoftverletöltési oldalakra irányították a felhasználókat. Ez a technika különösen veszélyes, mivel a felhasználók megbízhatónak vélik a keresési eredményeket, és így könnyen letölthetik a fertőzött szoftvereket.
A WithSecure jelentése részletes technikai elemzést és a kompromittálás indikátorait is tartalmazza.
