Lecciones aprendidas del incidente de KeePass con troyanos

Se modificó un popular administrador de contraseñas para permitir a los atacantes robar contraseñas y cifrar los datos de los usuarios. ¿Cómo proteger los ordenadores personales y los sistemas corporativos de esta amenaza?

Un usuario quería proteger sus contraseñas, pero inadvertidamente dejó entrar a los atacantes en su organización. Este resultado inesperado se ha documentado en una investigación reciente sobre un ataque de ransomware, un incidente que comenzó cuando un empleado decidió descargar el popular administrador de contraseñas KeePass. Sin embargo, un detalle clave es que visitó un sitio web falso. KeePass es un proyecto de código abierto, por lo que los atacantes no tuvieron problemas para copiarlo, modificarlo y añadir funciones maliciosas. Luego, volvieron a compilar la aplicación y la distribuyeron a través de sitios web falsos, que promocionaron a través de sistemas legítimos de publicidad en línea.

¿De qué se trataba el KeePass falso?

La campaña maliciosa duró al menos ocho meses, a partir de mediados de 2024. Los atacantes crearon sitios web falsos que imitaban el sitio oficial de KeePass y utilizaron publicidad maliciosa para redirigir a los usuarios que buscaban KeePass a dominios con nombres convincentes como keeppaswrd, keebass y KeePass-download.

Si la víctima descargara KeePass de un sitio falso, el administrador de contraseñas funcionaría como se esperaba, pero también guardaría todas las contraseñas de la base de datos actualmente abierta en un archivo de texto no cifrado e instalaría una baliza de Cobalt Strike en el sistema. Esta es una herramienta que se puede utilizar tanto para evaluar la seguridad de una organización como para realizar ciberataques reales.

Con Cobalt Strike, los atacantes no solo pudieron robar contraseñas exportadas, sino también usarlas para poner en riesgo sistemas adicionales y, en última instancia, cifrar los servidores ESXi de la organización.

Al buscar rastros de este ataque en línea, los investigadores descubrieron cinco modificaciones de KeePass diferentes con troyanos. Algunas de estas eran más sencillas: inmediatamente subían las contraseñas robadas al servidor de los atacantes.

Malware de sigilo avanzado

No es nada nuevo introducir malware al dispositivo de una víctima junto con software legítimo. Sin embargo, por lo general, los atacantes simplemente añaden archivos maliciosos al paquete de instalación, por lo que las soluciones de seguridad en el equipo (si las hay) los detectan fácilmente. El ataque de KeePass falso se planificó con mucho más cuidado y se ocultó mejor a las herramientas de seguridad.

Todos los paquetes de instalación falsos de KeePass se firmaron con una firma digital válida, por lo que no activaban ninguna advertencia de alarma en Windows. Las cinco distribuciones recién descubiertas tenían certificados emitidos por cuatro empresas de software diferentes. El KeePass legítimo está firmado con un certificado diferente, pero pocas personas se molestan en verificar lo que dice la línea del editor en las advertencias de Windows.

Las funciones del Troyano estaban ocultas dentro de la lógica central de la aplicación y solo se ejecutaban cuando el usuario abría una base de datos de contraseñas. En otras palabras, la aplicación primero se iniciaría como de costumbre, solicitaría al usuario que seleccione una base de datos e introduzca su contraseña maestra, y solo entonces comenzaría a realizar acciones que los mecanismos de seguridad podrían considerar sospechosas. Esto dificulta que los entornos de prueba y otras herramientas de análisis que detectan el comportamiento anormal de la aplicación detecten el ataque.

No solo KeePass

Mientras investigaban sitios web maliciosos que distribuían versiones de KeePass con troyanos, los investigadores descubrieron sitios relacionados alojados en el mismo dominio. Los sitios anunciaban otro software legítimo, incluido el administrador de archivos seguro WinSCP y varias herramientas de criptomonedas. Estos se modificaron en menor medida, y simplemente instalaban un malware conocido llamado Nitrogen Loader en los sistemas de las víctimas.

Esto sugiere que el administrador KeePass con troyanos fue creado por corredores de acceso inicial. Estos delincuentes roban contraseñas y otra información confidencial para encontrar puntos de entrada a las redes informáticas corporativas y luego venden el acceso a otros actores maliciosos, generalmente bandas de ransomware.

Una amenaza para todos

Los distribuidores de malware de robo de contraseñas atacan indiscriminadamente a cualquier usuario desprevenido. Los delincuentes analizan las contraseñas, los datos financieros u otra información valiosa que logran robar, la clasifican en categorías y venden lo que sea necesario a otros ciberdelincuentes para sus operaciones clandestinas. Los operadores de ransomware compran credenciales para redes corporativas, los estafadores compran datos personales y números de tarjetas bancarias, y los emisores de spam obtienen datos de inicio de sesión para redes sociales o cuentas de juegos.

Es por eso que el modelo de negocio para los distribuidores ladrones es obtener todo lo que puedan y usar todo tipo de señuelos para propagar su malware. Los Troyanos se pueden ocultar dentro de cualquier tipo de software, desde juegos y administradores de contraseñas hasta aplicaciones especializadas para contadores o arquitectos.

Cómo proteger tu ordenador personal

Descarga aplicaciones solo del sitio web oficial del proveedor o de las principales tiendas de aplicaciones.

Presta atención a las firmas digitales. Cuando inicies un programa que nunca hayas descargado antes, Windows muestra una advertencia con el nombre del titular de la firma digital en el campo Editor. Asegúrate de que coincida con la información del desarrollador real. En caso de duda, consulta la información en el sitio web oficial.

Ten cuidado con los anuncios de búsqueda. Cuando busques el nombre de una aplicación, revisa detenidamente los primeros cuatro o cinco resultados, pero ignora los anuncios. El sitio web oficial del desarrollador suele ser uno de esos resultados. Si no sabes qué resultado conduce al sitio web oficial, es mejor verificar la dirección a través de las principales tiendas de aplicaciones o incluso en Wikipedia.

Asegúrate de utilizar un software de seguridad integral, como Kaspersky Premium, en todos tus ordenadores y teléfonos inteligentes. Esto te protegerá de la mayoría de los tipos de malware y evitará que visites sitios web peligrosos.

¡No evites los administradores de contraseñas! Aunque se utilizó un administrador de contraseñas popular en un ataque sofisticado, la idea de almacenar de forma segura datos importantes en forma cifrada es más relevante que nunca. Las suscripciones a Kaspersky Plus y Kaspersky Premium incluyen Kaspersky Password Manager, que te permite almacenar de forma segura tus credenciales.

Cómo proteger a tu organización de los ladrones de información y los corredores de acceso inicial

El uso de credenciales legítimas en ataques es una de las tácticas más populares entre los ciberdelincuentes. Para dificultar el robo y el uso de cuentas corporativas, sigue los consejos para organizaciones sobre la lucha contra los ladrones de información.

Para repeler el software troyano que puede dar a los atacantes acceso directo a tu red, recomendamos además que tomes las siguientes medidas:

  • Restringe la descarga y ejecución de software que no sea de confianza mediante listas de admitidos de las aplicaciones. Los criterios adecuados para las listas de admitidos incluyen “aplicaciones de un proveedor específico” y aplicaciones firmadas con un certificado específico. La última opción habría ayudado en el caso de KeePass y habría bloqueado la aplicación conocida firmada con un certificado no autorizado.
  • Implementa un enfoque centralizado de supervisión y respuesta, que incluye la instalación de sensores de detección y respuesta de endpoints (EDR) en cada estación de trabajo y servidor, y analiza la telemetría resultante con soluciones SIEM o XDR. Kaspersky Next XDR Expert es ideal para proporcionar una solución integral a este desafío.
  • Mejora la formación de los empleados. Además de estar alerta ante el phishing, es importante formar a tu equipo para que reconozca el software falso, los anuncios maliciosos y otras técnicas de ingeniería social. Kaspersky Automated Security Awareness Platform puede ayudar con esto.
Consejos