5 月 20 日音讯 ，已暴月歹意K隐藏网络安全公司 WithSecure 最新发表 [PDF]，虐至网络黑客至少在曩昔八个月内，暗码暗码经过篡改 KeePass 暗码办理器 ，管理工具传达歹意版别 
，木马装置 Cobalt Strike 信标，布置盗取用户凭证，勒索并在被攻破的软件网络上布置勒索软件 。

　　该公司在查询一同勒索软件进犯时，已暴月歹意K隐藏发现了这一歹意活动 。虐至进犯始于经过 Bing 广告推行的暗码暗码歹意 KeePass 装置程序
，这些广告引导用户拜访假装成合法软件的管理工具网站。

　　因为 KeePass 是木马开源软件，要挟行为者修改了源代码，布置开发出名为 KeeLoader 的勒索木马版别 ，看似正常运转暗码办理功用
，却暗藏玄机：会装置 Cobalt Strike 信标 ，并以明文方式导出 KeePass 暗码数据库，随后经过信标盗取数据
。

　　据悉 ，此次活动中运用的 Cobalt Strike 水印相关 Black Basta 勒索软件，指向同一个初始拜访署理(IAB)。

　　研究人员发现多个 KeeLoader 变种，这些变种运用合法证书签名，并经过拼写错误域名(如 keeppaswrdcom
、keegasscom)传达。

　　IT之家征引 BleepingComputer 博文介绍 ，如 keeppaswrdcom 等部分假装网站仍在活动，持续分发歹意 KeePass 装置程序。

　　此外 ，KeeLoader 不只植入 Cobalt Strike 信标 ，还具有暗码盗取功用 ，能直接捕获用户输入的凭证，并将数据库数据以 CSV 格局导出 ，存储在本地目录下，并导致受害公司的 VMware ESXi 服务器被勒索软件加密。

　　进一步查询提醒，要挟行为者构建了巨大基础设施 ，分发假装成合法东西的歹意程序，并经过垂钓页面盗取凭证 。例如 ，aenyscom 域名保管多个子域名 ，假装成 WinSCP、PumpFun 等闻名服务  ，用于分发不同歹意软件或盗取凭证
。