Software KeePass utilizado para distribuir malware

Publicado hace 14 horas 22-05-2025

A blue circle with a black and white lock AI-generated content may be incorrect.Los actores maliciosos buscan constantemente nuevas técnicas o herramientas para distribuir malware. Esto incluye el uso de herramientas legítimas que han sido modificadas para propagar código malicioso; generalmente, estas herramientas son de código abierto. 

KeePass es un software de administración de contraseñas que permite almacenarlas de forma segura. Este software es de código abierto y es ampliamente utilizado debido a su facilidad de uso y nivel de seguridad. Recientemente, se ha descubierto que actores maliciosos han comenzado a distribuir una versión modificada de este programa, cuyo código fuente ha sido alterado para propagar distintos tipos de malware, tales como: 

• Troyanos 

• Stealers 

• Ransomware 

Esta versión maliciosa de KeePass se distribuye a través de anuncios en sitios web, los cuales invitan al usuario a descargar el software. Por ello, se recomienda siempre descargarlo únicamente desde su página oficial. Incluso, en algunos casos, la URL mostrada en la vista previa del anuncio puede parecer legítima; sin embargo, esto es una técnica para engañar al usuario, ya que al hacer clic se le redirige a un sitio malicioso. 

La versión modificada que contiene malware se presenta como la 2.57.1, aunque al descargarla, el instalador muestra que se trata de la versión 2.56, lo cual es un indicio claro de que hay algo sospechoso en el archivo. Otro signo de alerta es la página de descarga: mientras que la URL oficial de KeePass es la siguiente: 

https://keepass.info/download.html 

la versión modificada se distribuye desde esta dirección maliciosa: 

https://keeppaswrd[.]com 
A screenshot of a computerAI-generated content may be incorrect.
Imagen del sitio de descarga de la version modificada de KeePass.
A screenshot of a computer program AI-generated content may be incorrect.A screenshot of a computer programAI-generated content may be incorrect.
 

Imagen del sitio oficial de KeePass 

Al revisar la actividad de esta versión, el equipo de WithSecure atribuye el comportamiento a UNC4696 un actor malicioso que es relacionado con campañas de Nitrogen Loader. A su vez, Nitrogen también se ha relacionado con el grupo de ransomware BlackCat/ALPHV. 

Indicadores de Compromiso:

URL – https://keeppaswrd.com 

SHA-256 - 0000cff6a3c7f7eebc0edc3d1e42e454ebb675e57d6fc1fd968952694b1b44b3 

A screenshot of a computer AI-generated content may be incorrect.

Recomendaciones

  • Descargar software únicamente del sitio oficial, especialmente software sensible como administradores de contraseñas. 

Recomendaciones Adicionales 

  • Si alguna vulnerabilidad le afecta, considere actualizar o migrar a una versión con la vulnerabilidad corregida de acuerdo a la tabla de versiones afectadas. 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Abrams, L. (2025. Mayo 19) Fake KeePass password manager leads to ESXi ransomware attack. Recuperado el 20 de Mayo del 2025 en: https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/ 
  2. Mann, B.. (2025. Mayo 19) KeePass Clone Used for Deploying Malware and Stealing Credentials. Recuperado el 20 de Mayo del 2025 en: https://cyberinsider.com/keepass-clone-used-for-deploying-malware-and-stealing-credentials/ 
  3. West, T. Kazem, M. (2025. Mayo 08) KeePass trojanised in advanced malware campaign. Recuperado el 20 de Mayo del 2025 en: https://labs.withsecure.com/publications/keepass-trojanised-in-advanced-malware-campaign 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Ransomware Devman
Publicado hace 14 horas 22-05-2025

A mediados de abril 2025 apareció en los mercados de filtraciones en la Dark Web (Web Oscura) un nuevo ransomware llamado Devman, el cual registró más de una docena de víctimas en su ola inicial. En los foros de inteligencia de amenazas se dice que se......

Software KeePass utilizado para distribuir malware
Publicado hace 14 horas 22-05-2025

Los actores maliciosos buscan constantemente nuevas técnicas o herramientas para distribuir malware. Esto incluye el uso de herramientas legítimas que han sido modificadas para propagar código malicioso; generalmente, estas herramientas son de código a......

Ransomware Mamona
Publicado hace 1 día 21-05-2025

Recientemente se ha identificado un nuevo grupo de ransomware llamado Mamona, el cual ha sido destacado por sus técnicas de ataque, ya que opera fuera de la red y utiliza pings inversos para pasar desapercibido por las herramientas de monitoreo. Este grupo se diferencia de......

BOLETINES RECIENTES

...
Ransomware Devman
Publicado hace 14 horas 22-05-2025
Leer más
...
Software KeePass utilizado para distribuir malware
Publicado hace 14 horas 22-05-2025
Leer más
...
Ransomware Mamona
Publicado hace 1 día 21-05-2025
Leer más