Trojan dans KeePass : les leçons à tirer

Un gestionnaire de mots de passe populaire a été manipulé pour permettre à des pirates de voler des mots de passe et de chiffrer les données des utilisateurs. Comment protéger les ordinateurs personnels et les systèmes d’entreprise contre cette menace ?

Un utilisateur voulait protéger ses mots de passe, mais il a involontairement permis à des pirates d’entrer dans son organisation. Ce résultat inattendu a été documenté dans une enquête récente sur une attaque de ransomware, un incident qui a commencé lorsqu’un employé a décidé de télécharger le célèbre gestionnaire de mots de passe KeePass. Un détail important, cependant, est que l’employé a visité un faux site. KeePass étant un projet open-source, les pirates n’ont eu aucun mal à le copier, à le modifier et à y ajouter des fonctionnalités malveillantes. Ils ont ensuite recompilé l’application et l’ont distribuée par l’intermédiaire de faux sites Internet, qu’ils ont promus via des systèmes légaux de publicité en ligne.

En quoi consistait la fausse version de KeePass

La campagne malveillante a duré au moins huit mois, à partir de la mi-2024. Les pirates ont créé de faux sites imitant le site officiel de KeePass et ont utilisé des publicités malveillantes pour rediriger les utilisateurs qui recherchaient cette solution vers des domaines portant des noms trompeurs tels que keeppaswrd, keebass et KeePass-download.

Si la victime téléchargeait KeePass à partir d’un faux site, le gestionnaire de mots de passe fonctionnait normalement, mais enregistrait aussi tous les mots de passe de la base de données ouverte dans un fichier texte non chiffré, tout en installant une balise Cobalt Strike sur le système. Il s’agit d’un outil qui peut être utilisé à la fois pour évaluer la sécurité d’une organisation et pour mener de véritables cyberattaques.

Avec Cobalt Strike, les attaquants ont pu non seulement voler les mots de passe exportés, mais aussi les utiliser pour compromettre d’autres systèmes et finalement chiffrer les serveurs ESXi de l’organisation.

En recherchant des traces de cette attaque en ligne, les chercheurs ont découvert cinq modifications différentes de KeePass sous forme de chevaux de Troie. Certaines d’entre elles étaient plus simples : elles téléchargeaient immédiatement les mots de passe volés sur le serveur des pirates informatiques.

Programme malveillant ultra-furtif

Il n’y a rien de révolutionnaire à transmettre un programme malveillant à une victime en même temps qu’un logiciel légitime. En général, les pirates ajoutent simplement des fichiers malveillants au paquet d’installation, si bien que les solutions de sécurité (si elles sont présentes) sur l’ordinateur les détectent facilement. La fausse attaque KeePass a été beaucoup plus soigneusement planifiée et mieux dissimulée aux yeux des outils de sécurité.

Tous les faux paquets d’installation de KeePass étaient signés avec une signature numérique valide, ce qui n’a pas généré d’avertissements importants sous Windows. Les cinq distributions nouvellement découvertes disposaient de certificats émis par quatre éditeurs de logiciels différentes. Le certificat KeePass authentique est signé avec un autre certificat, mais peu de gens prennent la peine de vérifier ce que stipule la ligne Publisher dans les avertissements de Windows.

Les fonctions du cheval de Troie étaient dissimulées dans la logique centrale de l’application et ne s’exécutaient que lorsque l’utilisateur ouvrait une base de données de mots de passe. Autrement dit, l’application démarrait d’abord comme d’habitude, invitait l’utilisateur à sélectionner une base de données et à saisir son mot de passe principal, puis commençait à effectuer des actions que les mécanismes de sécurité pouvaient considérer comme suspectes. Il est donc plus difficile pour les sandbox et autres outils d’analyse qui détectent le comportement anormal d’une application de repérer l’attaque.

KeePass n’est pas le seul outil concerné

En examinant des sites malveillants distribuant des versions de KeePass infectées par des chevaux de Troie, les chercheurs ont découvert des sites connexes hébergés sur le même domaine. Les sites proposaient d’autres logiciels reconnus, notamment le gestionnaire de fichiers sécurisé WinSCP et plusieurs outils liés aux cryptomonnaies. Ces derniers étaient modifiés moins en profondeur et installaient simplement un programme malveillant connu, appelé Nitrogen Loader, sur les appareils des victimes.

Ce résultat indique que la version de KeePass contenant un cheval de Troie a été créée par des courtiers en accès initial. Ces criminels volent des mots de passe et d’autres informations confidentielles pour trouver des points d’entrée dans les réseaux informatiques des entreprises et vendent ensuite les accès à d’autres acteurs malveillants, généralement des bandes spécialisées dans les ransomwares.

Une menace pour tous

Les diffuseurs de programmes malveillants de vol de mot de passe ciblent sans distinction les utilisateurs qui ne se doutent de rien. Les criminels analysent les mots de passe, les données financières et les autres renseignements précieux qu’ils parviennent à voler, les classent par catégories et vendent tout ce qui est nécessaire à d’autres cybercriminels pour leurs opérations clandestines. Les opérateurs de ransomware achètent des identifiants permettant d’accéder à des réseaux d’entreprise, les escrocs achètent des données personnelles et des numéros de cartes bancaires, et les spammeurs se procurent des identifiants de connexion à des comptes de réseaux sociaux ou de jeux.

C’est pourquoi le modèle commercial des distributeurs de logiciels volés consiste à s’emparer de tout ce qui leur tombe sous la main et à utiliser toutes sortes d’appâts pour diffuser leurs programmes malveillants. Les chevaux de Troie peuvent être dissimulés dans n’importe quel type de logiciel, qu’il s’agisse de jeux, de gestionnaires de mots de passe ou d’applications spécialisées pour les comptables ou les architectes.

Comment protéger votre ordinateur

Téléchargez les applications uniquement à partir du site Internet officiel du vendeur ou des principales boutiques d’applications.

Faites attention aux signatures numériques. Lorsque vous lancez un programme que vous n’avez jamais téléchargé auparavant, Windows affiche un avertissement avec le nom du propriétaire de la signature numérique dans le champ Éditeur. Assurez-vous que ces informations correspondent à celles du développeur réel. En cas de doute, vérifiez les informations sur le site officiel.

Méfiez-vous des annonces de recherche. Lorsque vous recherchez le nom d’une application, examinez attentivement les quatre ou cinq premiers résultats, mais ignorez les annonces. Le site officiel du développeur figure généralement parmi ces résultats. Si vous n’êtes pas sûr du résultat qui mène au site officiel, il est préférable de vérifier l’adresse via les principales boutiques d’applications ou même sur Wikipédia.

Veillez à utiliser un logiciel de sécurité complet, comme Kaspersky Premium, sur l’ensemble de vos ordinateurs et smartphones. Vous éviterez ainsi d’être infecté par la plupart des types de programmes malveillants et de visiter des sites dangereux.

Ne délaissez pas les gestionnaires de mots de passe ! Bien qu’un gestionnaire de mots de passe populaire ait été utilisé dans une attaque sophistiquée, l’idée de stocker en toute sécurité les données importantes sous forme chiffrée est plus pertinente que jamais. Les abonnements à Kaspersky Plus et à Kaspersky Premium incluent Kaspersky Password Manager, qui vous permet de stocker vos identifiants en toute sécurité.

Comment protéger votre organisation contre les voleurs d’informations et les courtiers en accès initial ?

L’utilisation d’identifiants valides lors d’attaques est l’une des tactiques les plus populaires utilisées par les cybercriminels. Pour rendre plus difficile le vol et l’utilisation des comptes d’entreprise, suivez les conseils donnés aux organisations pour lutter contre les voleurs d’informations.

Pour repousser les logiciels contenant des chevaux de Troie qui peuvent donner aux pirates un accès direct à votre réseau, nous vous recommandons en outre de prendre les mesures suivantes :

  • Limitez le téléchargement et l’exécution de logiciels non fiables à l’aide de listes d’autorisation d’applications. Pour autoriser des applications de façon ciblée, utilisez des critères comme « provenance d’un fournisseur précis » ou application signée par un certificat défini. Cette dernière option aurait été utile dans le cas de KeePass et aurait permis de bloquer l’application connue signée avec un certificat non autorisé.
  • Mettez en œuvre une approche centralisée de surveillance et de réponse, qui comprend l’installation de capteurs de détection et de réponse au niveau des terminaux (EDR) sur chaque poste de travail et serveur, et l’analyse de la télémétrie résultante à l’aide de solutions SIEM ou XDR. Kaspersky Next XDR Expertest bien adapté pour apporter une solution complète à cette question.
  • Développez les programmes de formation pour vos employés. En plus de rester vigilant face au phishing, il est important de former votre équipe à reconnaître les faux logiciels, les publicités malveillantes et les autres techniques d’ingénierie sociale. La plateforme Kaspersky Automated Security Awareness peut vous venir en aide.
Conseils
Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries