KeePass 是个非常知名的开源密码管理器，这类知名软件经常遭到黑客恶意利用，例如网络安全公司 WithSecure 就在调查勒索软件攻击时发现黑客使用 KeePass 源代码添加恶意软件后再进行传播。

根据调查黑客通过窃取某企业的数字证书对 KeePass 恶意版进行签名并传播，成功窃取用户凭据后再部署 Cobalt Strike 等渗透恶意软件，这场持续至少 8 个月的恶意活动利用恶意广告和伪造域名进行传播，影响多个企业。

这种情况让我们想起了此前有黑客在谷歌搜索上投放 KeePass 恶意版，黑客伪造域名和其他信息成功骗过谷歌广告审核系统，当用户在谷歌上搜索 KeePass 时排名第一的就是黑客的网站，不知道当时的恶意广告与本文提到的是否有直接关联。

此前在谷歌上出现的 KeePass 钓鱼网站，从域名上看不出任何差别

KeeLoader 恶意软件加载器：

WithSecure 公司受雇于调查某企业使用的 VMware ESXi 服务器被部署勒索软件，尽管此次攻击在技术和策略上与常见的勒索软件攻击并没有太大差异，但研究人员在后续调查时发现一个更广泛的恶意活动网络，这可能与多起影响欧洲及全球企业的勒索软件有关。

调查的核心是名为 KeeLoader 的恶意软件加载器，该加载器通过恶意广告传播 Cobalt Strike 后门，让人担忧的是这也是 WithSecure 首次观察到攻击者直接修改开源密码管理器 KeePass 的源代码，使其同时作为恶意软件加载器和凭证窃取工具。

当 KeeLoader 被加载后，用户若打开数据库文件时则账户信息、登录名、密码等数据都会被记录并被导出为 CSV 格式保存到本地，随后黑客通过 Cobalt Strike 后门程序远程获取这些文件。

利用必应搜索广告传播恶意软件：

此次案例中研究人员观察到黑客通过必应搜索广告投放钓鱼网站，黑客使用多个与 KeePass 相似的域名进行钓鱼，一旦用户下载运行包含恶意程序的版本，后门程序就会被隐秘启动并在后台收集数据。

为避免被追查到域名信息以及用来防范探测，黑客在 NameCheap 上注册这些钓鱼域名并使用 Cloudflare 进行托管，黑客可能还使用防弹主机 (防弹主机指的是黑灰产领域常用的一种高度隐秘的互联网基础设施，这类服务器提供商通常会以更高的价格向犯罪分子提供服务器托管)。

总得来说虽然这不算是特别新鲜的攻击方式，但也提醒我们下载软件要仔细辨别网站真伪，尤其是不要轻信搜索引擎排在前列的赞助广告，这些广告因谷歌和微软审核问题经常出现钓鱼网站，建议用户使用广告拦截扩展程序屏蔽这些广告。