Una preocupante campaña de ciberataques ha sido detectada por investigadores de seguridad: versiones modificadas del administrador de contraseñas KeePass están siendo utilizadas para distribuir malware, instalar balizas Cobalt Strike y ejecutar ransomware. Esta operación, activa desde hace al menos ocho meses, pone en riesgo la seguridad de usuarios y organizaciones en todo el mundo.
🧨 KeePass, convertido en vector de ataque
KeePass, una herramienta ampliamente utilizada por su enfoque de código abierto y gratuito, ha sido adulterada para crear una versión maliciosa llamada KeeLoader. Esta variante mantiene el funcionamiento típico del programa, pero incluye código oculto que permite a los atacantes:
-
Exportar bases de datos de contraseñas sin cifrado.
-
Ejecutar balizas de Cobalt Strike para controlar el sistema.
-
Preparar el terreno para el despliegue de ransomware.
Este tipo de malware resulta difícil de detectar, ya que simula perfectamente el comportamiento del KeePass legítimo.
🎯 Distribución mediante anuncios y sitios falsos
El malware se propaga a través de anuncios engañosos en el buscador Bing, que redirigen a sitios falsos que imitan a los originales. Entre los dominios utilizados se encuentran:
-
keeppaswrd[.]com
-
keegass[.]com
-
KeePass[.]me
Aunque algunos de estos dominios han sido desactivados, al menos uno sigue activo, según reportes de BleepingComputer.
🧪 KeeLoader: funciones maliciosas avanzadas
Una vez instalado, KeeLoader exporta toda la información de las bases de datos abiertas (usuario, contraseña, URL, notas) a un archivo .csv ubicado en %localappdata%, con un nombre aleatorio entre 100 y 999. Luego, este archivo es exfiltrado a través de la baliza de Cobalt Strike hacia los servidores de los atacantes.
Esta técnica proporciona acceso directo a credenciales críticas que permiten moverse lateralmente por redes corporativas y preparar ataques más complejos, como el cifrado de servidores.
🕵️ Conexiones con grupos de ransomware como Black Basta
La investigación, liderada por WithSecure, identificó que las balizas utilizadas están vinculadas a un identificador exclusivo previamente asociado a Black Basta, un grupo de ransomware notoriamente activo.
El actor de amenazas responsable, identificado como UNC4696, ha estado vinculado a campañas anteriores usando Nitrogen Loader, y tiene conexiones con grupos como BlackCat/ALPHV. Esto refuerza la hipótesis de que se trata de una red criminal organizada y sofisticada.
🌐 Suplantación masiva de marcas y servicios
El análisis técnico reveló el uso de un dominio (aenys[.]com) con múltiples subdominios falsos que simulaban sitios legítimos como:
-
WinSCP
-
Phantom Wallet
-
Sallie Mae
-
Woodforest Bank
-
DEX Screener
Cada sitio estaba diseñado para distribuir malware o robar credenciales mediante phishing, demostrando que la campaña tiene alcance y recursos a gran escala.
🛡️ Recomendaciones de seguridad para usuarios y empresas
Este ataque es un recordatorio contundente sobre la importancia de la higiene digital. Aquí algunas medidas esenciales:
-
Evitá descargar desde anuncios: Escribí la URL manualmente o usá fuentes confiables como GitHub.
-
Verificá la firma digital: Asegurate de que el software provenga de desarrolladores verificados.
-
Mantené todo actualizado: Las nuevas versiones corrigen vulnerabilidades explotadas por atacantes.
-
Usá EDR (detección y respuesta en endpoints): Ayuda a detectar actividad maliciosa como Cobalt Strike.
-
Segmentá tu red: Limitá el movimiento lateral para minimizar el daño ante una intrusión.
🔍 Conclusión
El caso de KeeLoader muestra cómo incluso herramientas pensadas para protegernos pueden convertirse en vectores de ataque cuando no se verifica su autenticidad. La confianza en el software de código abierto sigue siendo sólida, pero es indispensable revisar siempre la procedencia de lo que instalamos.
La ciberseguridad ya no es opcional: es una responsabilidad compartida entre usuarios, desarrolladores y empresas.
