gerenciador de senhas
Um usuário queria proteger suas senhas, mas acabou permitindo, sem querer, a entrada de invasores em sua organização. Esse resultado inesperado foi registrado em uma investigação recente sobre um ataque de ransomware, um incidente que começou quando um funcionário decidiu baixar o popular gerenciador de senhas KeePass. Um detalhe importante é que eles acessaram um site falso. O KeePass é um projeto de código aberto, por isso os invasores não tiveram dificuldade em copiá-lo, modificá-lo e adicionar funções maliciosas. Em seguida, eles recompilaram o aplicativo e o distribuíram por meio de sites falsos, que promoveram com anúncios legítimos on-line.
O que estava por trás do KeePass falso?
A campanha maliciosa durou ao menos 8 meses, iniciando em meados de 2024. Os invasores criaram sites falsos que imitavam o site oficial do KeePass e utilizaram publicidade maliciosa para redirecionar usuários que buscavam pelo KeePass por domínios com nomes convincentes como keeppaswrd, keebass e KeePass-download.
Se a vítima baixasse o KeePass de um site falso, o gerenciador de senhas funcionaria normalmente, mas também salvaria todas as senhas do banco de dados aberto em um arquivo de texto não criptografado e instalaria um Beacon Cobalt Strike no sistema. Essa ferramenta pode ser usada tanto para avaliar a segurança de uma organização quanto para conduzir ataques cibernéticos reais.
Com o Cobalt Strike, os invasores conseguiram não apenas roubar senhas exportadas, mas também utilizá-las para comprometer outros sistemas e, por fim, criptografar os servidores ESXi da organização.
Ao procurar por vestígios desse ataque na Internet, os pesquisadores descobriram cinco versões diferentes do KeePass modificadas com trojan. Alguns eram mais simples: encaminhavam imediatamente as senhas roubadas para o servidor dos invasores.
Malware de alta furtividade
Não é novidade inserir malware combinado com um software legítimo para infectar uma vítima. Normalmente, porém, os invasores apenas adicionam arquivos maliciosos ao pacote de instalação, permitindo que as soluções de segurança (se houver) os detectem com facilidade. O ataque com o KeePass falso foi planejado com muito mais cuidado e melhor ocultado das ferramentas de segurança.
Todos os pacotes falsos de instalação do KeePass estavam assinados com uma assinatura digital válida, por isso, não ativaram nenhum alerta no Windows. As cinco distribuições descobertas recentemente possuíam certificados emitidos por quatro empresas de software diferentes. O KeePass legítimo é assinado com um certificado diferente, mas poucas pessoas se dão ao trabalho de conferir o que aparece na linha do Editor dos avisos do Windows.
As funções do trojan estavam ocultas dentro da lógica principal do aplicativo e só eram ativadas quando o usuário abria um banco de dados de senhas. Em outras palavras, o aplicativo seria iniciado normalmente, solicitando ao usuário que selecione um banco de dados e para inserir sua senha mestra e, só então, começaria a executar ações que os mecanismos de segurança poderiam considerar suspeitas. Isso torna mais difícil para sandboxes e outras ferramentas de análise que detectam comportamentos anormais de aplicativos identificarem o ataque.
Não foi só o KeePass
Durante a investigação de sites maliciosos que distribuíam versões do KeePass com trojan, os pesquisadores encontraram sites relacionados hospedados no mesmo domínio. Os sites promoviam outros softwares legítimos, como o gerenciador de arquivos seguro WinSCP e diversas ferramentas de criptomoeda. Esses softwares foram modificados de forma mais simples, apenas instalaram um malware conhecido como Nitrogen Loader, nos sistemas das vítimas.
Isso indica que o KeePass infectado com trojan foi desenvolvido por agentes de acesso inicial. Esses criminosos roubam senhas e outras informações confidenciais para encontrar brechas em redes de computadores corporativas e, em seguida, vendem esse acesso para outros agentes maliciosos, geralmente grupos de ransomware.
Uma ameaça para todos
Distribuidores de malware de roubo de senhas atacam indiscriminadamente qualquer usuário desavisado. Os criminosos analisam todas as senhas, dados financeiros ou outras informações valiosas que conseguem roubar, classificam-nas em categorias e vendem o que for necessário para outros criminosos cibernéticos para suas operações clandestinas. Os operadores de ransomware compram credenciais de redes corporativas, golpistas adquirem dados pessoais e números de cartão bancário, e os spammers obtêm detalhes de login de redes sociais ou contas de jogos.
É por isso que o modelo de negócios desses distribuidores de malware é coletar tudo o que for possível, e usar todo tipo de isca para espalhar as ameaças. Trojans podem estar ocultos em qualquer tipo de software, de jogos e gerenciadores de senhas a aplicativos especializados para contadores ou arquitetos.
Como proteger seu computador doméstico?
Baixe aplicativos somente do site oficial do desenvolvedor ou de grandes lojas de aplicativos.
Observe com atenção as assinaturas digitais. Ao iniciar um programa que nunca baixou antes, o Windows exibirá um aviso com o nome do titular da assinatura digital no campo Editor. Certifique-se de que essas informações correspondam às do desenvolvedor. Em caso de dúvida, verifique as informações no site oficial.
Tenha cuidado com os anúncios exibidos na rede de busca. Ao pesquisar o nome de um aplicativo, revise com atenção os primeiros quatro ou cinco resultados, mas evite os anúncios. O site oficial do desenvolvedor normalmente é um desses resultados. Se você não tiver certeza de qual resultado leva ao site oficial, confirme o endereço nas principais lojas de aplicativos ou até mesmo na Wikipedia.
Certifique-se de usar um software de segurança completo, como o Kaspersky Premium, em todos os seus computadores e smartphones. Isso o protegerá contra a maioria dos tipos de malware e evitará que você acesse sites perigosos.
Não fique com receio de usar gerenciadores de senhas! Embora um gerenciador de senhas popular tenha sido usado em um ataque sofisticado, a prática de armazenar dados importantes de forma segura e com criptografia continua mais relevante do que nunca. As assinaturas do Kaspersky Plus e Kaspersky Premium incluem o Kaspersky Password Manager, que permite armazenar suas credenciais com segurança.
Como proteger sua organização contra malwares de roubo de informações e agentes de acesso inicial
O uso de credenciais legítimos em ataques é uma das táticas mais comuns entre os cibercriminosos. Para dificultar o roubo e o uso de contas corporativas, siga as orientações para organizações sobre como combater malwares de roubo de informações.
Para evitar que softwares com trojan acessem diretamente a sua rede, recomendamos também as seguintes medidas:
- Restringir o download e a execução de softwares não confiáveis por meio de listas de permissões de aplicativos. Os critérios válidos para a lista de permissões incluem “aplicativos de um fornecedor específico” e aplicativos assinados com um certificado específico. A última opção teria ajudado no caso do KeePass, bloqueando o aplicativo assinado com um certificado não autorizado.
- Implementar uma abordagem centralizada de monitoramento e resposta, incluindo a instalação de sensores de detecção e resposta de endpoint (EDR) em todas as estações de trabalho e servidores, além da análise da telemetria gerada com soluções SIEM ou XDR. O Kaspersky Next XDR Expert é ideal para fornecer uma solução completa para esse desafio.
- Ampliação do treinamento de funcionários. Além de estar atento ao phishing, é essencial treinar sua equipe para identificar softwares falsos, anúncios maliciosos e outras táticas de engenharia social. A Kaspersky Automated Security Awareness Platform pode ajudar com isso.
