{"id":23874,"date":"2025-06-09T09:35:45","date_gmt":"2025-06-09T12:35:45","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23874"},"modified":"2025-06-06T15:59:22","modified_gmt":"2025-06-06T18:59:22","slug":"trojan-password-manager-keepass-lessons","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/trojan-password-manager-keepass-lessons\/23874\/","title":{"rendered":"O que aprendemos com o incidente do KeePass comprometido com trojan"},"content":{"rendered":"

Um usu\u00e1rio queria proteger suas senhas, mas acabou permitindo, sem querer, a entrada de invasores em sua organiza\u00e7\u00e3o. Esse resultado<\/a> inesperado foi registrado em uma investiga\u00e7\u00e3o recente sobre um ataque de ransomware, um incidente que come\u00e7ou quando um funcion\u00e1rio decidiu baixar o popular gerenciador de senhas KeePass. Um detalhe importante \u00e9 que eles acessaram um site falso. O KeePass \u00e9 um projeto de c\u00f3digo aberto, por isso os invasores n\u00e3o tiveram dificuldade em copi\u00e1-lo, modific\u00e1-lo e adicionar fun\u00e7\u00f5es maliciosas. Em seguida, eles recompilaram o aplicativo e o distribu\u00edram por meio de sites falsos, que promoveram com an\u00fancios leg\u00edtimos on-line<\/a>.<\/p>\n

O que estava por tr\u00e1s do KeePass falso?<\/h2>\n

A campanha<\/a> maliciosa durou ao menos 8 meses, iniciando em meados de 2024. Os invasores criaram sites falsos que imitavam o site oficial do KeePass e utilizaram publicidade maliciosa<\/a> para redirecionar usu\u00e1rios que buscavam pelo KeePass por dom\u00ednios com nomes convincentes como keeppaswrd, keebass<\/em> e KeePass-download<\/em>.<\/p>\n

Se a v\u00edtima baixasse o KeePass de um site falso, o gerenciador de senhas funcionaria normalmente, mas tamb\u00e9m salvaria todas as senhas do banco de dados aberto em um arquivo de texto n\u00e3o criptografado e instalaria um Beacon Cobalt Strike<\/a> no sistema. Essa ferramenta pode ser usada tanto para avaliar a seguran\u00e7a de uma organiza\u00e7\u00e3o quanto para conduzir ataques cibern\u00e9ticos reais.<\/p>\n

Com o Cobalt Strike, os invasores conseguiram n\u00e3o apenas roubar senhas exportadas, mas tamb\u00e9m utiliz\u00e1-las para comprometer outros sistemas e, por fim, criptografar os servidores ESXi da organiza\u00e7\u00e3o.<\/p>\n

Ao procurar por vest\u00edgios desse ataque na Internet, os pesquisadores descobriram cinco vers\u00f5es diferentes do KeePass modificadas com trojan. Alguns eram mais simples: encaminhavam imediatamente as senhas roubadas para o servidor dos invasores.<\/p>\n

Malware de alta furtividade<\/h2>\n

N\u00e3o \u00e9 novidade inserir malware combinado com um software leg\u00edtimo para infectar uma v\u00edtima<\/a>. Normalmente, por\u00e9m, os invasores apenas adicionam arquivos maliciosos ao pacote de instala\u00e7\u00e3o, permitindo que as solu\u00e7\u00f5es de seguran\u00e7a (se houver) os detectem com facilidade. O ataque com o KeePass falso foi planejado com muito mais cuidado e melhor ocultado das ferramentas de seguran\u00e7a.<\/p>\n

Todos os pacotes falsos de instala\u00e7\u00e3o do KeePass estavam assinados com uma assinatura digital v\u00e1lida, por isso, n\u00e3o ativaram nenhum alerta no Windows. As cinco distribui\u00e7\u00f5es descobertas recentemente possu\u00edam certificados emitidos por quatro empresas de software diferentes. O KeePass leg\u00edtimo \u00e9 assinado com um certificado diferente, mas poucas pessoas se d\u00e3o ao trabalho de conferir o que aparece na linha do Editor<\/em> dos avisos do Windows.<\/p>\n

As fun\u00e7\u00f5es do trojan estavam ocultas dentro da l\u00f3gica principal do aplicativo e s\u00f3 eram ativadas quando o usu\u00e1rio abria um banco de dados de senhas. Em outras palavras, o aplicativo seria iniciado normalmente, solicitando ao usu\u00e1rio que selecione um banco de dados e para inserir sua senha mestra e, s\u00f3 ent\u00e3o, come\u00e7aria a executar a\u00e7\u00f5es que os mecanismos de seguran\u00e7a poderiam considerar suspeitas. Isso torna mais dif\u00edcil para sandboxes e outras ferramentas de an\u00e1lise que detectam comportamentos anormais de aplicativos identificarem o ataque.<\/p>\n

N\u00e3o foi s\u00f3 o KeePass<\/h2>\n

Durante a investiga\u00e7\u00e3o de sites maliciosos que distribu\u00edam vers\u00f5es do KeePass com trojan, os pesquisadores encontraram sites relacionados hospedados no mesmo dom\u00ednio. Os sites promoviam outros softwares leg\u00edtimos, como o gerenciador de arquivos seguro WinSCP e diversas ferramentas de criptomoeda. Esses softwares foram modificados de forma mais simples, apenas instalaram um malware conhecido como Nitrogen Loader, nos sistemas das v\u00edtimas.<\/p>\n

Isso indica que o KeePass infectado com trojan foi desenvolvido por agentes de acesso inicial. Esses criminosos roubam senhas e outras informa\u00e7\u00f5es confidenciais para encontrar brechas em redes de computadores corporativas e, em seguida, vendem esse acesso para outros agentes maliciosos, geralmente grupos de ransomware.<\/p>\n

Uma amea\u00e7a para todos<\/h2>\n

Distribuidores de malware de roubo de senhas atacam indiscriminadamente qualquer usu\u00e1rio desavisado. Os criminosos analisam todas as senhas, dados financeiros ou outras informa\u00e7\u00f5es valiosas que conseguem roubar, classificam-nas em categorias e vendem o que for necess\u00e1rio para outros criminosos cibern\u00e9ticos para suas opera\u00e7\u00f5es clandestinas. Os operadores de ransomware compram credenciais de redes corporativas, golpistas adquirem dados pessoais e n\u00fameros de cart\u00e3o banc\u00e1rio, e os spammers obt\u00eam detalhes de login de redes sociais ou contas de jogos.<\/p>\n

\u00c9 por isso que o modelo de neg\u00f3cios desses distribuidores de malware \u00e9 coletar tudo o que for poss\u00edvel, e usar todo tipo de isca para espalhar as amea\u00e7as. Trojans podem estar ocultos em qualquer tipo de software, de jogos e gerenciadores de senhas a aplicativos especializados para contadores ou arquitetos.<\/p>\n

Como proteger seu computador dom\u00e9stico?<\/h2>\n

Baixe aplicativos somente do site oficial do desenvolvedor ou de grandes lojas de aplicativos.<\/p>\n

Observe com aten\u00e7\u00e3o as assinaturas digitais. Ao iniciar um programa que nunca baixou antes, o Windows exibir\u00e1 um aviso com o nome do titular da assinatura digital no campo Editor<\/em>. Certifique-se de que essas informa\u00e7\u00f5es correspondam \u00e0s do desenvolvedor. Em caso de d\u00favida, verifique as informa\u00e7\u00f5es no site oficial.<\/p>\n

Tenha cuidado com os an\u00fancios exibidos na rede de busca. Ao pesquisar o nome de um aplicativo, revise com aten\u00e7\u00e3o os primeiros quatro ou cinco resultados, mas evite os an\u00fancios. O site oficial do desenvolvedor normalmente \u00e9 um desses resultados. Se voc\u00ea n\u00e3o tiver certeza de qual resultado leva ao site oficial, confirme o endere\u00e7o nas principais lojas de aplicativos ou at\u00e9 mesmo na Wikipedia.<\/p>\n

Certifique-se de usar um software de seguran\u00e7a completo, como o Kaspersky Premium<\/a>, em todos os seus computadores e smartphones. Isso o proteger\u00e1 contra a maioria dos tipos de malware e evitar\u00e1 que voc\u00ea acesse sites perigosos.<\/p>\n

N\u00e3o fique com receio de usar gerenciadores de senhas! Embora um gerenciador de senhas popular tenha sido usado em um ataque sofisticado, a pr\u00e1tica de armazenar dados importantes de forma segura e com criptografia continua mais relevante do que nunca. As assinaturas do Kaspersky Plus<\/a> e Kaspersky Premium<\/a> incluem o Kaspersky Password Manager<\/a>, que permite armazenar suas credenciais com seguran\u00e7a.<\/p>\n

Como proteger sua organiza\u00e7\u00e3o contra malwares de roubo de informa\u00e7\u00f5es e agentes de acesso inicial<\/h2>\n

O uso de credenciais leg\u00edtimos em ataques \u00e9 uma das t\u00e1ticas mais comuns entre os cibercriminosos. Para dificultar o roubo e o uso de contas corporativas, siga as orienta\u00e7\u00f5es para organiza\u00e7\u00f5es sobre como combater malwares de roubo de informa\u00e7\u00f5es<\/a>.<\/p>\n

Para evitar que softwares com trojan acessem diretamente a sua rede, recomendamos tamb\u00e9m as seguintes medidas:<\/p>\n