8 个月木马 ，盗取歹意 Ks 暗码管暗码布置理工具隐藏勒索软件已暴虐至少

　　5 月 20 日音讯 ，已暴月歹意K隐藏网络安全公司 WithSecure 最新发表 [PDF]，虐至网络黑客至少在曩昔八个月内 ，暗码暗码经过篡改 KeePass 暗码办理器，管理工具传达歹意版别 ，木马装置 Cobalt Strike 信标，布置盗取用户凭证
，勒索并在被攻破的软件网络上布置勒索软件。

　　该公司在查询一同勒索软件进犯时，已暴月歹意K隐藏发现了这一歹意活动。虐至进犯始于经过 Bing 广告推行的暗码暗码歹意 KeePass 装置程序，这些广告引导用户拜访假装成合法软件的管理工具网站。

　　因为 KeePass 是木马开源软件
，要挟行为者修改了源代码
，布置开发出名为 KeeLoader 的勒索木马版别 ，看似正常运转暗码办理功用 ，却暗藏玄机：会装置 Cobalt Strike 信标，并以明文方式导出 KeePass 暗码数据库，随后经过信标盗取数据 。

　　据悉，此次活动中运用的 Cobalt Strike 水印相关 Black Basta 勒索软件 ，指向同一个初始拜访署理(IAB)。

　　研究人员发现多个 KeeLoader 变种，这些变种运用合法证书签名 ，并经过拼写错误域名(如 keeppaswrdcom、keegasscom)传达。

　　IT之家征引 BleepingComputer 博文介绍 ，如 keeppaswrdcom 等部分假装网站仍在活动 ，持续分发歹意 KeePass 装置程序。

　　此外 ，KeeLoader 不只植入 Cobalt Strike 信标 ，还具有暗码盗取功用，能直接捕获用户输入的凭证，并将数据库数据以 CSV 格局导出 ，存储在本地目录下 ，并导致受害公司的 VMware ESXi 服务器被勒索软件加密
。

　　进一步查询提醒 ，要挟行为者构建了巨大基础设施，分发假装成合法东西的歹意程序，并经过垂钓页面盗取凭证
 。例如
，aenyscom 域名保管多个子域名，假装成 WinSCP
、PumpFun 等闻名服务，用于分发不同歹意软件或盗取凭证 。