Пользователям интернета не рекомендуется ничего скачивать без проверки, особенно если это программа или исполняемый файл. Этот совет может уберечь от опасностей модифицированной версии популярного менеджера паролей KeePass, которая распространяет приложение-вымогатель.
Используя старый трюк, хакеры создали новые сайты с URL-адресами сквоттера, которые выглядят похожими на настоящий сайт KeePass. На поддельных сайтах интерфейс почти идеально имитирует настоящий, предлагая скачать менеджер паролей. Расследование компании WithSecure показало, что хакеры не просто предоставляли эти поддельные сайты как способ доставки типичного вредоносного ПО. Они модифицировали саму программу KeePass с открытым исходным кодом, а затем подписали пакет подлинным сертификатом, чтобы он выглядел как настоящий.
Заражённая версия работает как обычный менеджер паролей, но при этом втихаря крадёт логины и пароли, устанавливает программу-вымогатель и распространяется на совместимые компьютеры локальной сети. После активации заражённые машины удалённо шифруются, что позволяет хакерам красть данные и анонимно вымогать выкуп.
Поддельные программы KeePass загружались по нескольким URL-адресам. BleepingComputer сообщает, что поддельные сайты продвигались с помощью рекламы в поисковой системе Microsoft Bing, которая используется по умолчанию в системе Windows и браузере Edge. Это не первый случай, когда поисковая система сталкивается с вредоносным ПО, распространяемым через платную рекламу. Обычные пользователи могут верить такой рекламе и таким образом быть обманутыми.
Минимум один из поддельных доменов оставался активным в момент появления новости.