gestore di password

Lezioni apprese dall’incidente con trojan KeePass

Un popolare gestore di password è stato modificato per consentire agli utenti malintenzionati di rubare le password e criptare i dati degli utenti. Come proteggere i computer di casa e i sistemi aziendali da questa minaccia?

Stan Kaminsky
11 Giu 2025

Un utente desiderava salvaguardare le proprie password, ma ha consentito inavvertitamente ad utenti malintenzionati di entrare nella sua organizzazione. Questo esito inaspettato è stato documentato in una recente indagine su un attacco ransomware, un incidente iniziato quando un dipendente ha deciso di scaricare il popolare gestore di password KeePass. Un dettaglio chiave, tuttavia, è che hanno visitato un sito Web falso. KeePass è un progetto open source, quindi gli autori dell’attacco non hanno avuto problemi a copiarlo, modificarlo e aggiungere funzionalità dannose. Hanno quindi ricompilato l’applicazione e l’hanno distribuita tramite siti Web contraffatti, promuovendola tramite sistemi di pubblicità online legittimi.

Cosa stava combinando il falso KeePass

L’attacco dannoso è durato almeno otto mesi, a partire dalla metà del 2024. Gli autori dell’attacco hanno creato siti Web falsi che imitavano il sito ufficiale KeePass e utilizzato il malvertising per reindirizzare gli utenti che stavano cercando KeePass a domini con nomi convincenti come keeppaswrd, keebass e KeePass-download.

Se la vittima avesse scaricato KeePass da un sito falso, il gestore di password avrebbe funzionato come previsto, ma avrebbe anche salvato tutte le password del database aperto al momento in un file di testo non criptato e avrebbe installato un beacon Cobalt Strike nel sistema. Si tratta di uno strumento che può essere utilizzato sia per valutare la sicurezza di un’organizzazione sia per condurre veri e propri cyberattacchi.

Con Cobalt Strike, gli autori dell’attacco sono stati in grado non solo di rubare le password esportate, ma anche di utilizzarle per compromettere sistemi aggiuntivi e, infine, criptare i server ESXi dell’organizzazione.

Durante la ricerca online di tracce di questo attacco, i ricercatori hanno scoperto cinque diverse modifiche trojanizzate di KeePass. Alcune di queste erano più semplici: caricavano immediatamente le password rubate sul server degli autori dell’attacco.

Malware altamente invisibile

Trasmettere malware a una vittima insieme a software legittimo non è certo una novità. In genere, tuttavia, gli utenti malintenzionati aggiungono semplicemente file dannosi al pacchetto di installazione, quindi le soluzioni di protezione (se presenti) nel computer li rilevano facilmente. Il falso attacco KeePass è stato pianificato con molta più attenzione e celato meglio agli strumenti di sicurezza.

Tutti i pacchetti di installazione falsi KeePass sono stati firmati con una firma digitale valida, quindi non hanno attivato avvisi allarmanti in Windows. Le cinque distribuzioni scoperte di recente avevano certificati emessi da quattro diverse società di software. Il KeePass legittimo viene firmato con un certificato diverso, ma poche persone si preoccupano di controllare ciò che dice la riga del publisher negli avvisi di Windows.

Le funzioni del trojan erano nascoste all’interno della logica di base dell’applicazione e venivano eseguite solo quando l’utente apriva un database delle password. In altre parole, l’applicazione viene prima avviata come di consueto, richiedendo all’utente di selezionare un database e immettere la relativa password principale, quindi solo allora inizia a eseguire azioni che i meccanismi di protezione potrebbero considerare sospette. Questo rende più difficile per sandbox e altri strumenti di analisi che rilevano il comportamento anomalo delle applicazioni individuare l’attacco.

Non solo KeePass

Durante le indagini sui siti Web dannosi che distribuiscono versioni trojanizzate di KeePass, i ricercatori hanno scoperto siti correlati ospitati nello stesso dominio. I siti pubblicizzavano altro software legittimo, tra cui lo strumento di gestione dei file sicuro WinSCP e diversi strumenti per le criptovalute. Questi sono stati modificati in modo meno esteso e hanno semplicemente installato malware noto chiamato Nitrogen Loader nei sistemi delle vittime.

Questo suggerisce che KeePass, protetto da trojan, sia stato creato da broker di accesso iniziale. Questi criminali rubano password e altre informazioni riservate per trovare punti di ingresso nelle reti di computer aziendali e quindi vendere l’accesso ad altri utenti malintenzionati, in genere bande di ransomware.

Una minaccia per tutti

I distributori di malware per il furto di password prendono di mira indiscriminatamente qualsiasi utente ignaro. I criminali analizzano password, dati finanziari o altre informazioni preziose che riescono a rubare, li ordinano in categorie e vendono tutto ciò che è necessario ad altri cybercriminali per le loro operazioni clandestine. Gli operatori di ransomware acquisteranno le credenziali per le reti aziendali, i truffatori acquisteranno dati personali e numeri di carte bancarie e gli spammer acquisiranno i dettagli di accesso per i social media o gli account di gioco.

Ecco perché il modello di business per i distributori di stealer è quello di accaparrarsi tutto ciò su cui riescono a mettere le mani e utilizzare ogni tipo di esca per diffondere il malware. I trojan possono essere nascosti all’interno di qualsiasi tipo di software, da giochi e gestori di password ad applicazioni specializzate per contabili e architetti.

Come proteggere i dati online

Scaricare le applicazioni solo dal sito Web ufficiale del fornitore o dai principali app store.

Prestare attenzione alle firme digitali. Quando si avvia un programma mai scaricato prima, Windows visualizza un avviso con il nome del proprietario della firma digitale nel campo Publisher. Assicurati che corrisponda alle informazioni dello sviluppatore reale. In caso di dubbio, controlla le informazioni sul sito Web ufficiale.

Presta attenzione agli annunci della rete di ricerca. Quando cerchi il nome di un’applicazione, esamina attentamente i primi quattro o cinque risultati, ma ignora gli annunci. Il sito Web ufficiale dello sviluppatore è in genere uno di questi risultati. Se non si è sicuri di quale risultato porti al sito Web ufficiale, è meglio ricontrollare l’indirizzo tramite i principali app store o anche su Wikipedia.

Assicurati di utilizzare un software di protezione completo, ad esempio Kaspersky Premium, in tutti i computer e smartphone. In questo modo sarai protetto dall’infezione dalla maggior parte dei tipi di malware e non riuscirai a visitare siti Web pericolosi.

Non evitare i gestori di password! Sebbene in un attacco sofisticato sia stato utilizzato un famoso gestore di password, l’idea di archiviare in modo sicuro i dati importanti in forma criptata è più che mai attuale. Abbonamenti a Kaspersky Plus e Kaspersky Premium includono Kaspersky Password Manager, che consente di archiviare in modo sicuro le credenziali.

Come proteggere l’organizzazione da infostealer e broker di accesso iniziale

L’utilizzo di credenziali legittime negli attacchi è una delle tattiche più utilizzate dai cybercriminali. Per rendere più difficile il furto e l’utilizzo degli account aziendali, segui i consigli per le organizzazioni sulla lotta agli infostealer.

Per respingere il software trojan che può concedere agli utenti malintenzionati l’accesso diretto alla rete, è consigliabile adottare inoltre le seguenti misure:

Limitazione del download e dell’esecuzione di software non attendibile tramite le liste di applicazioni consentite. I criteri idonei per l’inserimento nella lista delle applicazioni consentite includono “applicazioni di un fornitore specifico” e applicazioni firmate con un certificato specifico. Quest’ultima opzione avrebbe aiutato nel caso KeePass e bloccato l’applicazione nota firmata con un certificato non autorizzato.
L’implementazione di un approccio centralizzato al monitoraggio e alla reazione, che include l’installazione dei sensori di rilevamento e reazione degli endpoint (EDR) in ogni workstation e server e l’analisi della telemetria risultante con le soluzioni SIEM o XDR. Kaspersky Next XDR Expert è particolarmente adatto per fornire una soluzione completa a questa sfida.
Ampliare la formazione dei dipendenti. Oltre a prestare attenzione alla pubblicazione, è importante addestrare il team a riconoscere software falso, annunci dannosi e altre tecniche di social engineering. Kaspersky Automated Security Awareness Platform può aiutare in questo caso.

Digital detox: come prendersi una pausa dagli schermi

Pianifica un digital detox sicuro: una checklist per prepararsi per le vacanze e rilassarsi in pace.

Privacy e bambini

Lezioni apprese dall’incidente con trojan KeePass

Cosa stava combinando il falso KeePass

Malware altamente invisibile

Non solo KeePass

Una minaccia per tutti

Come proteggere i dati online

Come proteggere l’organizzazione da infostealer e broker di accesso iniziale

Truffatori che sfruttano le notifiche aziendali Microsoft per lanciare attacchi

AirBorne: attacchi ai dispositivi Apple tramite vulnerabilità in AirPlay

Digital detox: come prendersi una pausa dagli schermi

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia