Скачал не тот KeePass — с утра начал восстанавливать компанию.

KeePass сохранил ваши пароли — но не вам

Группа киберпреступников более восьми месяцев распространяет заражённые версии KeePass, используя рекламу в Bing для перенаправления пользователей на поддельные сайты. Злоумышленники модифицировали open-source код KeePass, встроив в него вредоносный компонент KeeLoader, сохраняющий стандартный интерфейс, но устанавливающий Cobalt Strike и отправляющий все пароли атакующим.

Исследователи WithSecure обнаружили эту кампанию после атаки с вымогателем, в результате которой компания потеряла доступ к серверам VMware ESXi. Модифицированный KeePass также экспортировал логины, URL и комментарии в .CSV-файл и передавал их злоумышленникам. Некоторые версии KeeLoader были подписаны настоящими цифровыми сертификатами и распространялись через клон-сайты вроде keeppaswrd[.]com и keegass[.]com, часть которых всё ещё активна.

Атака связана с группой UNC4696 и, вероятно, аффилирована с Black Basta и другими вымогательскими кампаниями. Злоумышленники также создавали фейковые версии сайтов WinSCP, Phantom Wallet и других популярных сервисов для распространения вредоносов и сбора данных.

Вывод: даже “официально” выглядящая реклама может вести на вредоносный сайт. Загружайте критически важные приложения — особенно менеджеры паролей — только с проверенных источников.