Durante al menos ocho meses, grupos maliciosos han estado distribuyendo versiones modificadas de KeePass, un popular gestor de contraseñas, para colarse en sistemas y causar estragos. La trampa: un KeePass "falso", que por fuera parece funcionar como siempre, pero por dentro está diseñado para robar credenciales, instalar herramientas de control remoto y, finalmente, lanzar ataques de ransomware.
Todo comenzó cuando un equipo de investigadores fue llamado para analizar un caso de ransomware. Rastreando el origen, dieron con un instalador de KeePass que no era lo que parecía. Este se había promocionado mediante anuncios en Bing que dirigían a sitios falsos muy bien hechos, casi idénticos a los legítimos.
Aprovechando que KeePass es de código abierto, los atacantes tomaron el software original, le hicieron algunas modificaciones y crearon una versión troyanizada conocida como "KeeLoader". Este KeePass falso incluía todas las funciones normales de gestión de contraseñas, pero con un truco oculto: instalaba una baliza Cobalt Strike (una herramienta usada para moverse por la red comprometida) y además exportaba la base de datos de contraseñas como texto plano, lista para ser robada sin que el usuario se diera cuenta.
Evidencias apuntan a vínculos con el grupo de ransomware Black Basta
Según los investigadores, las balizas maliciosas usadas en esta campaña tienen una especie de “marca de agua digital” que permite rastrear su origen. Resulta que esta marca ya se ha visto antes en ataques relacionados con el grupo de ransomware Black Basta, lo que hace pensar que detrás de esta operación podría estar uno de sus aliados o colaboradores más cercanos.
Para entenderlo mejor: las balizas Cobalt Strike, que son herramientas usadas por atacantes para moverse dentro de una red comprometida, vienen con un identificador único incrustado. Es como una huella digital que apunta a la licencia que usaron para crearlas. En este caso, esa huella coincide con otras vistas en campañas anteriores asociadas a Black Basta.
Aunque no hay registros públicos de otros ataques que usen exactamente esta misma marca de agua, eso no significa que no existan. Simplemente, no se han documentado (todavía).
Además, los investigadores encontraron varias versiones del malware "KeeLoader", algunas incluso firmadas con certificados válidos, lo que las hace parecer aún más legítimas. Estas variantes se estaban distribuyendo a través de sitios web falsos que imitan nombres similares al original, como keeppaswrd[.]com, keegass[.]com y KeePass[.]me.
Y lo más preocupante: uno de estos sitios, keeppaswrd[.]com, sigue activo y está distribuyendo el instalador troyanizado de KeePass al momento de escribir esto.
Sitio falso de KeePass que promueve un instalador troyanizado
Además de instalar balizas Cobalt Strike, la versión falsa de KeePass también venía con una función para robar contraseñas. Básicamente, cada vez que alguien ingresaba una credencial en el programa, esta podía ser capturada y extraída por los atacantes sin que el usuario lo notara.
Los responsables de analizar este ataque explicaron que "KeeLoader", como se llamó a esta versión modificada, no solo servía como lanzador de malware, sino que también estaba diseñado para extraer la base de datos de contraseñas directamente desde el KeePass legítimo.
Cuando la víctima abría su base de datos de KeePass, el programa exportaba automáticamente toda la información (usuario, contraseña, sitio web, notas) a un archivo CSV escondido dentro del sistema, en una carpeta local bajo el nombre ".kp". Este archivo usaba un número aleatorio como nombre para pasar desapercibido.
¿El resultado? El atacante terminaba con una copia en texto plano de todas tus contraseñas, sin que siquiera lo supieras. Pero eso no fue todo. En el caso que se investigó, el ataque terminó con los servidores VMware ESXi de la empresa completamente cifrados por ransomware, dejando sus operaciones totalmente paralizadas.
Al seguir indagando, los investigadores encontraron que esta campaña era parte de algo mucho más grande: una infraestructura maliciosa bastante extensa que usaba páginas falsas de herramientas conocidas y sitios de phishing bien elaborados para infectar dispositivos o robar credenciales.
Uno de los dominios usados en esta campaña fue aenys[.]com, que alojaba subdominios que se hacían pasar por marcas conocidas como WinSCP, Phantom Wallet, PumpFun, Woodforest Bank, DEX Screener e incluso Sallie Mae. Cada uno de estos sitios servía para distribuir distintos tipos de malware o engañar a los usuarios para que entregaran sus contraseñas.
Según los investigadores, todo esto estaría relacionado con un grupo identificado como UNC4696, que ya había sido vinculado anteriormente con campañas del malware Nitrogen Loader, otro cargador malicioso que en el pasado se ha asociado con el ransomware BlackCat/ALPHV.
Volcado de credenciales de KeePass (Fuente: WithSecure)
Podría interesarte leer: Filtran 500 mil Contraseñas y Datos Sensibles de Mexicanos en Telegram
¿La lección aquí?
Si vas a descargar software (especialmente herramientas delicadas como gestores de contraseñas), hazlo siempre desde sitios oficiales y verificados. Evitá por completo los enlaces patrocinados o los anuncios, incluso si te muestran una URL que parece legítima. Los atacantes han demostrado que pueden manipular este tipo de enlaces para llevarte a sitios falsos que se ven exactamente igual a los originales… pero con consecuencias muy diferentes.
