Uma investigação da empresa WithSecure revelou uma sofisticada campanha cibercriminosa que utiliza versões adulteradas do gerenciador de senhas KeePass para invadir redes corporativas, roubar credenciais e instalar ransomware. Essa operação tem ocorrido de forma silenciosa há pelo menos oito meses, com os atacantes se aproveitando do código aberto do KeePass para espalhar uma variante maliciosa chamada KeeLoader.
KeePass falso espalha malware e culmina em ataque de ransomware ESXi
De ferramenta de segurança a vetor de ataque
O KeeLoader é visualmente idêntico à versão legítima do KeePass e mantém todas as suas funcionalidades originais. No entanto, ele também instala discretamente um beacon Cobalt Strike — ferramenta amplamente usada por hackers para movimentação lateral e persistência em redes comprometidas. Além disso, o programa exporta os dados salvos no banco de senhas como texto simples, facilitando o roubo de credenciais.
O ataque geralmente se inicia quando usuários clicam em anúncios no Bing que direcionam para páginas falsas de download. Esses sites maliciosos utilizam nomes semelhantes ao original, como keeppaswrd[.]com, keegass[.]com e KeePass[.]me, estratégia conhecida como typosquatting. Inclusive, o domínio keeppaswrd[.]com ainda está ativo e continua oferecendo o software trojanizado.
Rastro aponta para grupo ligado ao ransomware Black Basta
A WithSecure identificou que os beacons utilizados nessa campanha contêm uma marca d’água específica, associada anteriormente a um grupo classificado como corretor de acesso inicial (Initial Access Broker – IAB). Esse mesmo grupo teria envolvimento com o ransomware Black Basta, sugerindo uma colaboração entre operadores de acesso inicial e agentes de ransomware.
Até o momento, não há confirmação de outras campanhas usando essa marca d’água específica, o que indica um uso altamente direcionado e planejado.
Roubo de credenciais e criptografia de servidores
Além de capturar dados sensíveis, como nomes de usuário, senhas, URLs e notas armazenadas no KeePass, o KeeLoader salva essas informações em arquivos CSV localizados na pasta %localappdata%, com extensão .kp e nome aleatório. Esses arquivos são então transmitidos para os atacantes via Cobalt Strike.
O caso investigado culminou na criptografia de servidores VMware ESXi, reforçando o impacto crítico dessa campanha. Segundo a WithSecure, essa tática faz parte de uma infraestrutura maliciosa mais ampla, que inclui clones de sites populares, como WinSCP, Phantom Wallet, e DEX Screener — todos usados para espalhar malware ou coletar credenciais.
Atribuição e recomendações
Com base nos dados reunidos, a campanha foi atribuída com confiança moderada ao grupo UNC4696, associado anteriormente ao uso do Nitrogen Loader, ferramenta de infecção ligada a ataques com o ransomware BlackCat/ALPHV.
Como recomendação, os especialistas reforçam a importância de baixar programas apenas de sites oficiais e evitar clicar em anúncios, mesmo que aparentem ser legítimos. Cibercriminosos conseguem manipular URLs exibidas em anúncios para mascarar redirecionamentos para sites perigosos.
