{"id":32264,"date":"2025-06-06T10:03:29","date_gmt":"2025-06-06T08:03:29","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32264"},"modified":"2025-06-06T10:03:29","modified_gmt":"2025-06-06T08:03:29","slug":"trojan-password-manager-keepass-lessons","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/trojan-password-manager-keepass-lessons\/32264\/","title":{"rendered":"KeePass-Modifikationen mit Trojanern gew\u00fcrzt"},"content":{"rendered":"

Wie bewahrt man Passw\u00f6rter sicher auf? Nat\u00fcrlich in einem Passwort-Manager. \u00a0\u2013 In unserem heutigen Fall gab es jedoch unerw\u00fcnschte Nebeneffekte: Angreifer konnten in Unternehmensnetzwerke eindringen. Zu diesem unerwarteten Ergebnis<\/a> kam eine aktuelle Studie, die sich mit einem Ransomware-Angriff besch\u00e4ftigte. Das Ganze begann mit dem Download des beliebten Passwort-Managers \u201eKeePass\u201c. Allerdings stammte das Programm von einer gef\u00e4lschten Website. KeePass ist ein Open-Source-Projekt. Darum konnten die Angreifer das Programm problemlos kopieren, ver\u00e4ndern und sch\u00e4dliche Funktionen hinzuf\u00fcgen. Anschlie\u00dfend wurde das Programm erneut kompiliert und \u00fcber gef\u00e4lschte Websites verbreitet. Zur Werbung dienten legitime Online-Werbesysteme<\/a>.<\/p>\n

Was hatte der gef\u00e4lschte KeePass vor?<\/h2>\n

Die b\u00f6sartige Kampagne<\/a> dauerte mindestens acht Monate und begann Mitte 2024. Die Angreifer richteten gef\u00e4lschte Websites ein und ahmten die offizielle KeePass-Website nach. Zudem verwendeten sie Malvertising<\/a> (b\u00f6sartige Werbung): Nutzer, die nach KeePass suchten, wurden auf Dom\u00e4nen mit \u00e4hnlichen Namen umgeleitet, z.\u00a0B. keeppaswrd, keebass<\/em> und KeePass-download<\/em>.<\/p>\n

Wenn das Opfer KeePass von einer gef\u00e4lschten Website herunterlud, funktionierte der Passwort-Manager wie erwartet. Allerdings speicherte er alle Passw\u00f6rter aus der ge\u00f6ffneten Datenbank in einer unverschl\u00fcsselten Textdatei und installierte das Z\u00e4hlpixel \u201eCobalt Strike\u201c<\/a> auf dem System. Mit diesem Tool kann die Unternehmenssicherheit bewertet werden, es erm\u00f6glicht aber auch echte Cyberangriffe.<\/p>\n

Mit Cobalt Strike konnten die Angreifer nicht nur exportierte Passw\u00f6rter stehlen, sondern auch andere Systeme kompromittieren und sogar unternehmenseigene ESXi-Server verschl\u00fcsseln.<\/p>\n

Bei der Suche nach den Spuren dieses Angriffs fanden die Forscher im Internet f\u00fcnf verschiedene KeePass-Modifikationen mit Trojanern. Einige waren relativ simpel: Sie luden gestohlene Passw\u00f6rter sofort auf den Server der Angreifer hoch.<\/p>\n

Beinahe unsichtbare Malware<\/h2>\n

Es ist nichts Neues, dass einem Opfer zusammen mit legitimen Programmen auch Malware untergeschoben wird<\/a>. Wenn die sch\u00e4dlichen Dateien dem Installationspaket einfach hinzugef\u00fcgt wurden, k\u00f6nnen Sicherheitsl\u00f6sungen (sofern vorhanden) auf dem Computer die Malware leicht erkennen. Der KeePass-Angriff war jedoch sehr gr\u00fcndlich geplant und bestens vor Sicherheitstools verborgen.<\/p>\n

Alle gef\u00e4lschten KeePass-Installationspakete hatten eine g\u00fcltige digitale Signatur und l\u00f6sten deshalb keine Windows-Warnungen aus. Die f\u00fcnf entdeckten Distributionen verf\u00fcgten \u00fcber Zertifikate, die von vier verschiedenen Softwareunternehmen ausgestellt waren. Das legitime KeePass-Programm ist mit einem anderen Zertifikat signiert. Aber wer macht sich schon die M\u00fche, in der Zeile Hersteller<\/em> in Windows-Warnungen nachzusehen?<\/p>\n

Die Trojaner-Funktionen waren in der Kernlogik des Programms verborgen und wurden erst aktiv, wenn der Nutzer eine Passwort-Datenbank \u00f6ffnete. Das Programm startete also zun\u00e4chst wie gewohnt, forderte den Nutzer auf, eine Datenbank auszuw\u00e4hlen und das Master-Passwort einzugeben. Erst dann wurden Aktionen ausgef\u00fchrt, die den Sicherheitsmechanismen verd\u00e4chtig vorkommen k\u00f6nnten. Dies erschwert es einer Sandbox und anderen Analyse-Tools, ungew\u00f6hnliches Programmverhalten und den Angriff zu erkennen.<\/p>\n

Nicht nur KeePass<\/h2>\n

Bei der Untersuchung b\u00f6sartiger Websites, die trojanisierte KeePass-Versionen verbreiten, stie\u00dfen die Forscher auf verwandte Websites, die auf derselben Dom\u00e4ne gehostet wurden. Die Websites machten Werbung f\u00fcr andere legale Programme, darunter den sicheren Dateimanager \u201eWinSCP\u201c und mehrere Tools f\u00fcr Kryptow\u00e4hrungen. Diese waren nicht so stark modifiziert und installierten einfach die bekannte Malware \u201eNitrogen Loader\u201c auf den angegriffenen Systemen.<\/p>\n

Dies deutet darauf hin, dass das mit einem Trojaner versehene KeePass-Programm von Initial Access Brokern erstellt wurde. Diese Kriminellen stehlen Passw\u00f6rter und andere vertrauliche Informationen, um sich Zugang zu Computernetzwerken von Unternehmen zu verschaffen. Dann verkaufen sie den Zugang an andere b\u00f6sartige Akteure, oft an Ransomware-Banden.<\/p>\n

Eine Bedrohung f\u00fcr alle<\/h2>\n

Vertreiber von Malware, die Passw\u00f6rter stehlen kann, nehmen wahllos jeden arglosen Nutzer ins Visier. Die Kriminellen analysieren gestohlene Passw\u00f6rter, Finanzdaten oder andere wertvolle Informationen, sortieren die Daten nach Kategorien und verkaufen alles an andere Cyberkriminelle, die sie f\u00fcr illegale Operationen ben\u00f6tigen. Ransomware-Gruppen kaufen Anmeldedaten f\u00fcr Unternehmensnetzwerke, Betr\u00fcger kaufen pers\u00f6nliche Daten und Bankkartennummern, Spammer freuen sich \u00fcber Zugangsdaten f\u00fcr soziale Medien oder Gaming-Accounts.<\/p>\n

Darum sieht das Gesch\u00e4ftsmodell von Stealer-Distributoren so aus: Sie schnappen sich einfach alles, was ihnen in die Finger kommt, und sie verwenden alle m\u00f6glichen K\u00f6der, um ihre Malware weiterzuverbreiten. Trojaner k\u00f6nnen in jeder Art von Software versteckt sein\u00a0\u2013 in Spielen, Passwort-Managern und in speziellen Programmen f\u00fcr Buchhalter oder Architekten.<\/p>\n

So sch\u00fctzt du deinen privaten Computer<\/h2>\n

Lade Programme nur von der offiziellen Website des jeweiligen Anbieters oder aus g\u00e4ngigen App-Shops herunter!<\/p>\n

Achte auf digitale Signaturen! Wenn du ein Programm startest, das du zum ersten Mal heruntergeladen hast, zeigt Windows eine Warnung an. Dort steht im Feld Herausgeber<\/em> der Name des Besitzers der digitalen Signatur. \u00dcberpr\u00fcfe, ob diese Angaben mit den Informationen des echten Entwicklers \u00fcbereinstimmen. Im Zweifelsfall kannst du auf der offiziellen Website nachsehen.<\/p>\n

Vorsicht bei Anzeigen aus Suchergebnissen! Wenn du nach dem Namen eines Programms suchst, schau dir die ersten vier oder f\u00fcnf Suchergebnisse ganz genau an. Anzeigen solltest du dabei ignorieren. Normalerweise geh\u00f6rt die offizielle Website des Entwicklers zu diesen Ergebnissen. Wenn du dir nicht sicher bist, welches Suchergebnis auf die offizielle Website f\u00fchrt, \u00fcberpr\u00fcfe die Adresse am besten zus\u00e4tzlich in den gro\u00dfen App-Shops oder auch auf Wikipedia.<\/p>\n

Verwende auf allen Computern und Smartphones zuverl\u00e4ssige Sicherheitssoftware, z. B. Kaspersky Premium<\/a>! Dies sch\u00fctzt vor einer Infektion durch die meisten Arten von Malware und verhindert den Besuch gef\u00e4hrlicher Websites.<\/p>\n

Keine Angst vor Passwort-Managern! Obwohl bei diesem ausgekl\u00fcgelten Angriff ein beliebter Passwort-Manager im Spiel war, ist es wichtiger denn je, sensible Daten sicher und in verschl\u00fcsselter Form aufzubewahren. Die Abonnements f\u00fcr Kaspersky Plus<\/a>\u00a0und Kaspersky Premium<\/a> umfassen Kaspersky Password Manager<\/a>, mit dem du deine Anmeldedaten sicher speichern kannst.<\/p>\n

So sch\u00fctzt du dein Unternehmen vor Informationsdieben und Initial Access Brokern<\/h2>\n

Angriffe unter Verwendung legitimer Anmeldedaten sind bei Cyberkriminellen sehr beliebt. Um den Diebstahl und die illegale Nutzung von Unternehmenskonten zu erschweren, solltest du die Ratschl\u00e4ge zur Bek\u00e4mpfung von Datendiebstahl<\/a> befolgen.<\/p>\n

Zur Abwehr von Trojanern, mit denen Angreifer direkt auf dein Netzwerk zugreifen k\u00f6nnen, empfehlen wir au\u00dferdem die folgenden Ma\u00dfnahmen:<\/p>\n