Una reciente investigación de la firma de ciberseguridad WithSecure ha revelado una campaña maliciosa activa durante varios meses, en la que se distribuyó una versión modificada del gestor de contraseñas KeePass. Esta versión, denominada KeeLoader, fue utilizada para infectar sistemas y robar información confidencial de los usuarios.
La campaña salió a la luz en febrero de 2025 tras un incidente que afectó a un proveedor de servicios de TI europeo, víctima de un ataque de ransomware dirigido a su infraestructura VMware ESXi. La infección inicial se produjo mediante la instalación del KeePass malicioso.
Cómo se desarrolló el ataque
Los atacantes diseñaron una versión “troyanizada” del popular gestor de contraseñas KeePass, denominada KeeLoader, que mantenía todas las funcionalidades legítimas del software original, pero con código malicioso oculto. A diferencia de campañas anteriores que simplemente incluían archivos maliciosos junto a instaladores auténticos, en este caso los atacantes recompilaron KeePass desde su código fuente e integraron directamente la funcionalidad maliciosa, lo que demuestra un nivel avanzado de manipulación dentro de la cadena de suministro de software.
La distribución de esta versión alterada se realizó mediante una campaña de malvertising que explotaba motores de búsqueda como Bing y DuckDuckGo. Los usuarios que buscaban descargar KeePass (así como otros programas como WinSCP o TreeSize Free) eran redirigidos a dominios falsos registrados a través de Namecheap y alojados en infraestructura de Cloudflare. Desde allí, los visitantes eran conducidos a través de múltiples intermediarios hasta finalmente descargar el archivo malicioso.
Una vez que el usuario instalaba el programa desde uno de estos sitios, se copiaban dos ejecutables en el directorio %localappdata%: KeePass.exe y ShInstUtil.exe. Estos binarios colaboraban para localizar y extraer las credenciales guardadas en la base de datos KeePass y guardarlas en un archivo CSV. Posteriormente, los datos eran enviados al atacante mediante un beacon de Cobalt Strike.
WithSecure identificó al menos cinco variantes distintas de esta versión maliciosa de KeePass, algunas con funciones de exfiltración directa de datos como IsUrlReady y RC4Apply, que posteriormente fueron eliminadas en favor de métodos más sigilosos. Además, todos los binarios estaban firmados digitalmente con certificados válidos de empresas reales como MekoGuard, Shenzhen Kantianxia, AVARKOM LLC y S.R.L. INT-MCOM, varios de los cuales fueron revocados tras la investigación.
Conclusión
Este incidente pone de manifiesto los riesgos crecientes asociados con la descarga de software desde fuentes no oficiales y la sofisticación de las técnicas empleadas por los atacantes, como el uso de certificados digitales válidos y dominios falsificados.
Para mitigar este tipo de amenazas, se recomienda descargar siempre software desde sitios web oficiales, verificar cuidadosamente los dominios y no confiar únicamente en la firma digital de los programas. Además, el uso de soluciones de seguridad que detecten comportamientos anómalos puede ayudar a prevenir compromisos incluso cuando el software malicioso aparenta ser legítimo.
Más información.
Fuente: https://cyberinsider.com/keepass-clone-used-for-deploying-malware-and-stealing-credentials/
