{"id":29711,"date":"2025-06-11T10:00:43","date_gmt":"2025-06-11T08:00:43","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29711"},"modified":"2025-06-09T22:32:41","modified_gmt":"2025-06-09T20:32:41","slug":"trojan-password-manager-keepass-lessons","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/trojan-password-manager-keepass-lessons\/29711\/","title":{"rendered":"Lezioni apprese dall’incidente con trojan KeePass"},"content":{"rendered":"

Un utente desiderava salvaguardare le proprie password, ma ha consentito inavvertitamente ad utenti malintenzionati di entrare nella sua organizzazione. Questo esito<\/a> inaspettato \u00e8 stato documentato in una recente indagine su un attacco ransomware, un incidente iniziato quando un dipendente ha deciso di scaricare il popolare gestore di password KeePass. Un dettaglio chiave, tuttavia, \u00e8 che hanno visitato un sito Web falso. KeePass \u00e8 un progetto open source, quindi gli autori dell\u2019attacco non hanno avuto problemi a copiarlo, modificarlo e aggiungere funzionalit\u00e0 dannose. Hanno quindi ricompilato l\u2019applicazione e l\u2019hanno distribuita tramite siti Web contraffatti, promuovendola tramite sistemi di pubblicit\u00e0 online legittimi<\/a>.<\/p>\n

Cosa stava combinando il falso KeePass<\/h2>\n

L\u2019attacco dannoso \u00e8 durato almeno otto mesi, a partire dalla met\u00e0 del 2024. Gli autori dell\u2019attacco hanno creato siti Web falsi che imitavano il sito ufficiale KeePass e utilizzato il malvertising<\/a> per reindirizzare gli utenti che stavano cercando KeePass a domini con nomi convincenti come keeppaswrd, keebass<\/em> e KeePass-download<\/em>.<\/p>\n

Se la vittima avesse scaricato KeePass da un sito falso, il gestore di password avrebbe funzionato come previsto, ma avrebbe anche salvato tutte le password del database aperto al momento in un file di testo non criptato e avrebbe installato un beacon Cobalt Strike<\/a> nel sistema. Si tratta di uno strumento che pu\u00f2 essere utilizzato sia per valutare la sicurezza di un\u2019organizzazione sia per condurre veri e propri cyberattacchi.<\/p>\n

Con Cobalt Strike, gli autori dell\u2019attacco sono stati in grado non solo di rubare le password esportate, ma anche di utilizzarle per compromettere sistemi aggiuntivi e, infine, criptare i server ESXi dell\u2019organizzazione.<\/p>\n

Durante la ricerca online di tracce di questo attacco, i ricercatori hanno scoperto cinque diverse modifiche trojanizzate di KeePass. Alcune di queste erano pi\u00f9 semplici: caricavano immediatamente le password rubate sul server degli autori dell\u2019attacco.<\/p>\n

Malware altamente invisibile<\/h2>\n

Trasmettere malware a una vittima insieme a software legittimo<\/a> non \u00e8 certo una novit\u00e0. In genere, tuttavia, gli utenti malintenzionati aggiungono semplicemente file dannosi al pacchetto di installazione, quindi le soluzioni di protezione (se presenti) nel computer li rilevano facilmente. Il falso attacco KeePass \u00e8 stato pianificato con molta pi\u00f9 attenzione e celato meglio agli strumenti di sicurezza.<\/p>\n

Tutti i pacchetti di installazione falsi KeePass sono stati firmati con una firma digitale valida, quindi non hanno attivato avvisi allarmanti in Windows. Le cinque distribuzioni scoperte di recente avevano certificati emessi da quattro diverse societ\u00e0 di software. Il KeePass legittimo viene firmato con un certificato diverso, ma poche persone si preoccupano di controllare ci\u00f2 che dice la riga del publisher<\/em> negli avvisi di Windows.<\/p>\n

Le funzioni del trojan erano nascoste all\u2019interno della logica di base dell\u2019applicazione e venivano eseguite solo quando l\u2019utente apriva un database delle password. In altre parole, l\u2019applicazione viene prima avviata come di consueto, richiedendo all\u2019utente di selezionare un database e immettere la relativa password principale, quindi solo allora inizia a eseguire azioni che i meccanismi di protezione potrebbero considerare sospette. Questo rende pi\u00f9 difficile per sandbox e altri strumenti di analisi che rilevano il comportamento anomalo delle applicazioni individuare l\u2019attacco.<\/p>\n

Non solo KeePass<\/h2>\n

Durante le indagini sui siti Web dannosi che distribuiscono versioni trojanizzate di KeePass, i ricercatori hanno scoperto siti correlati ospitati nello stesso dominio. I siti pubblicizzavano altro software legittimo, tra cui lo strumento di gestione dei file sicuro WinSCP e diversi strumenti per le criptovalute. Questi sono stati modificati in modo meno esteso e hanno semplicemente installato malware noto chiamato Nitrogen Loader nei sistemi delle vittime.<\/p>\n

Questo suggerisce che KeePass, protetto da trojan, sia stato creato da broker di accesso iniziale. Questi criminali rubano password e altre informazioni riservate per trovare punti di ingresso nelle reti di computer aziendali e quindi vendere l\u2019accesso ad altri utenti malintenzionati, in genere bande di ransomware.<\/p>\n

Una minaccia per tutti<\/h2>\n

I distributori di malware per il furto di password prendono di mira indiscriminatamente qualsiasi utente ignaro. I criminali analizzano password, dati finanziari o altre informazioni preziose che riescono a rubare, li ordinano in categorie e vendono tutto ci\u00f2 che \u00e8 necessario ad altri cybercriminali per le loro operazioni clandestine. Gli operatori di ransomware acquisteranno le credenziali per le reti aziendali, i truffatori acquisteranno dati personali e numeri di carte bancarie e gli spammer acquisiranno i dettagli di accesso per i social media o gli account di gioco.<\/p>\n

Ecco perch\u00e9 il modello di business per i distributori di stealer \u00e8 quello di accaparrarsi tutto ci\u00f2 su cui riescono a mettere le mani e utilizzare ogni tipo di esca per diffondere il malware. I trojan possono essere nascosti all\u2019interno di qualsiasi tipo di software, da giochi e gestori di password ad applicazioni specializzate per contabili e architetti.<\/p>\n

Come proteggere i dati online<\/h2>\n

Scaricare le applicazioni solo dal sito Web ufficiale del fornitore o dai principali app store.<\/p>\n

Prestare attenzione alle firme digitali. Quando si avvia un programma mai scaricato prima, Windows visualizza un avviso con il nome del proprietario della firma digitale nel campo Publisher<\/em>. Assicurati che corrisponda alle informazioni dello sviluppatore reale. In caso di dubbio, controlla le informazioni sul sito Web ufficiale.<\/p>\n

Presta attenzione agli annunci della rete di ricerca. Quando cerchi il nome di un\u2019applicazione, esamina attentamente i primi quattro o cinque risultati, ma ignora gli annunci. Il sito Web ufficiale dello sviluppatore \u00e8 in genere uno di questi risultati. Se non si \u00e8 sicuri di quale risultato porti al sito Web ufficiale, \u00e8 meglio ricontrollare l\u2019indirizzo tramite i principali app store o anche su Wikipedia.<\/p>\n

Assicurati di utilizzare un software di protezione completo, ad esempio Kaspersky Premium<\/a>, in tutti i computer e smartphone. In questo modo sarai protetto dall\u2019infezione dalla maggior parte dei tipi di malware e non riuscirai a visitare siti Web pericolosi.<\/p>\n

Non evitare i gestori di password! Sebbene in un attacco sofisticato sia stato utilizzato un famoso gestore di password, l\u2019idea di archiviare in modo sicuro i dati importanti in forma criptata \u00e8 pi\u00f9 che mai attuale. Abbonamenti a Kaspersky Plus<\/a> e Kaspersky Premium<\/a> includono Kaspersky Password Manager<\/a>, che consente di archiviare in modo sicuro le credenziali.<\/p>\n

Come proteggere l\u2019organizzazione da infostealer e broker di accesso iniziale<\/h2>\n

L\u2019utilizzo di credenziali legittime negli attacchi \u00e8 una delle tattiche pi\u00f9 utilizzate dai cybercriminali. Per rendere pi\u00f9 difficile il furto e l\u2019utilizzo degli account aziendali, segui i consigli per le organizzazioni sulla lotta agli infostealer<\/a>.<\/p>\n

Per respingere il software trojan che pu\u00f2 concedere agli utenti malintenzionati l\u2019accesso diretto alla rete, \u00e8 consigliabile adottare inoltre le seguenti misure:<\/p>\n