近年来，恶意软件的发展日益严峻，其中针对密码管理器的攻击几乎成为了网络犯罪的新常态。根据多家媒体的报道，近年来，Trojanized KeePass（被动型的KeePass恶意版本）正迅速被网络犯罪分子用于实施针对VMware ESXi系统的勒索软件攻击。这些恶意版本被称为“KeeLoader”，已被证明能够导入Cobalt Strike信标及窃取凭证程序，在至少八个月的时间里，攻击者利用这种手段对众多目标进行了突袭。

KeePass 作为开源密码管理器，其源代码的开放性使得攻击者能够便利地修改软件并创建仿冒版本。在此操作中，攻击者通过一种名为“KeeLoader”的伪造安装程序来分发恶意软件，并且该安装程序具有正常功能的同时，增加了可运行的恶意代码。一旦被执行，KeeLoader 将会启动 Cobalt Strike 信标，进而将用户输入的密码及KeePass数据库信息进行提取。

攻击链的环环相扣

WithSecure的威胁情报团队在调查一起勒索软件攻击时发现，攻击者首先通过修改的KeePass软件引导开始攻击，并通过虚假的网站广告法引导用户进行下载。这些网站在表面上看似合法，但实际上是经过精心伪造成的钓鱼网站。

具体而言，犯罪分子已经构建了一个广泛的基础设施，通过假冒的程序和钓鱼页面来窃取用户的登录凭证。例如，****的域名以及各类下属子域名从 WinSCP、PumpFun 到 Phantom Wallet，各种被攻击的目标应有尽有。研究团队确认，犯罪团队与UNC4696黑客组织有潜在联系，该组织也与Nitrogen恶意软件入侵活动有关系。

在 KeeLoader 的功能范围中，它不仅能够将 Cobalt Strike 信标植入目标系统中，还可以将用户输入的密码（包括账户名、用户名、密码、网站及备注等信息）以纯文本方式导出并存储为CSV文件。这些数据将通过信标的传输机制被泄露，进一步加剧了信息泄漏事件的严重程度。

如何保护自己免受此类攻击

随着恶意软件的不断演变，网络安全领域也需要不断提升警惕。用户被强烈建议仅从官方可信的网站上下载软件，特别是像密码管理器这样的敏感应用程序。即便某个广告显示正确的网络地址，用户也要保持谨慎。网络犯罪分子往往利用各种技术手段操控广告，让看似可信的链接引导用户进入假冒网站。

政策与企业的责任

针对这样的网络攻击，企业和政策制定者也需要采取更为积极的态度来应对。软件开发者应加大自身产品的安全性，及时修补漏洞，确保用户的数据安全。与此同时，网络监管部门也应加强对恶意软件传播的监控，提高公众对于网络安全的认识，定期进行安全检查及教育。

总之，随着技术的发展与恶意软件的愈演愈烈，网络安全问题愈发引起重视。既要依靠用户自身增强安全意识，也需通过政策法规及技术手段相结合，保护个人及组织的信息安全。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！