密码管理软件信得过吗已肆虐至少8个月：恶意KeePass密码管理工具暗藏木马

用户投稿 2025年11月13日 16:44:02 2 0

已肆虐至少8个月：恶意KeePass密码管理工具暗藏木马

IT之家 5 月 20 日消息，网络安全公司 WithSecure 最新披露 [PDF]，网络黑客至少在过去八个月内，通过篡改 KeePass 密码管理器，传播恶意版本，安装 Cobalt Strike 信标，窃取用户凭据，并在被攻破的网络上部署勒索软件。

该公司在调查一起勒索软件攻击时，发现了这一恶意活动。攻击始于通过 Bing 广告推广的恶意 KeePass 安装程序，这些广告引导用户访问伪装成合法软件的网站。

由于 KeePass 是开源软件，威胁行为者修改了源代码，开发出名为 KeeLoader 的木马版本，看似正常运行密码管理功能，却暗藏玄机：会安装 Cobalt Strike 信标，并以明文形式导出 KeePass 密码数据库，随后通过信标窃取数据。

据悉，此次活动中使用的 Cobalt Strike 水印关联 Black Basta 勒索软件，指向同一个初始访问代理（IAB）。

研究人员发现多个 KeeLoader 变种，这些变种使用合法证书签名，并通过拼写错误域名（如 keeppaswrdcom、keegasscom）传播。

IT之家援引 BleepingComputer 博文介绍，如 keeppaswrdcom 等部分伪装网站仍在活动，继续分发恶意 KeePass 安装程序。

此外，KeeLoader 不仅植入 Cobalt Strike 信标，还具备密码窃取功能，能直接捕获用户输入的凭据，并将数据库数据以 CSV 格式导出，存储在本地目录下，并导致受害公司的 VMware ESXi 服务器被勒索软件加密。

进一步调查揭示，威胁行为者构建了庞大基础设施，分发伪装成合法工具的恶意程序，并通过钓鱼页面窃取凭据。例如，aenyscom 域名托管多个子域名，伪装成 WinSCP、PumpFun 等知名服务，用于分发不同恶意软件或窃取凭据。

警惕！KeePass密码管理器竟成黑客“帮凶”

图片源于百度百科

近日，网络安全领域爆出一则令人震惊的消息：网络安全公司WithSecure披露，在过去至少八个月的时间里，黑客通过篡改知名的KeePass密码管理器，上演了一场大规模的恶意攻击大戏！

KeePass作为一款开源的密码管理工具，一直以来因免费、功能强大且开源，深受全球用户的喜爱，是许多人管理密码的首选。然而，黑客却利用了它的开源特性，对其源代码进行了恶意修改。

此次攻击源于黑客通过Bing广告推广恶意的KeePass安装程序。这些广告会引导用户访问伪装得极其逼真的网站，乍一看与KeePass的官方网站别无二致，实则是黑客精心设下的陷阱。用户一旦不慎下载并安装了这些恶意版本的KeePass，就等于在自己的设备上埋下了一颗“定时炸弹”。

黑客修改后的恶意版本被称为KeeLoader。它表面上能够正常运行密码管理功能，让用户毫无察觉，但背地里却干着见不得人的勾当。KeeLoader会偷偷安装Cobalt Strike信标，这可是黑客用来远程控制和窃取数据的得力工具。不仅如此，它还能以明文形式导出KeePass密码数据库，将用户的密码等敏感信息暴露无遗，然后通过信标将数据传输给黑客。

更可怕的是，KeeLoader还具备直接捕获用户输入凭据的能力，能将数据库数据以CSV格式导出并存储在本地目录下。这就导致了一些受害公司的VMware ESXi服务器被勒索软件加密，遭受了巨大的经济损失。

研究人员还发现了多个KeeLoader变种，这些变种使用合法证书签名，大大增加了欺骗性，让人防不胜防。而且黑客通过拼写错误的域名，如keeppaswrdcom、keegasscom等来传播恶意软件，部分伪装网站至今仍在活动，继续分发恶意KeePass安装程序，持续威胁着用户的安全。

进一步调查显示，黑客构建了庞大的基础设施来支持他们的恶意活动。他们利用aenyscom域名托管多个子域名，伪装成WinSCP、PumpFun等知名服务，用于分发不同恶意软件或窃取凭据。

此次事件给广大用户敲响了警钟。在下载软件时，一定要保持高度警惕，务必从官方正规渠道下载，切勿轻信广告和不明链接。同时，也提醒了软件开发者和相关企业，要加强对开源软件的安全管理和审查，完善安全机制，防止类似的恶意攻击再次发生。网络安全无小事，每个人都需要时刻保持警惕，守护好自己的数字资产和隐私安全。

#KeePass #恶意木马 #网络安全 #黑客攻击