Trata-se de um site que promove o uso do gerenciador de senhas e que aparece na primeira página dos resultados de buscadores, como o Google, ao pesquisar a palavra "keepass". Os responsáveis por esse site não oficial (a página oficial é keepass.info) aparentemente trabalharam bastante na otimização dos mecanismos de busca da página para que pudesse estar bem posicionado nas pesquisas dos usuários.
keepass(dot)com spreading malware acting as the official site for KeePass password manager. Download for .dmg and .exe files are available on the site.@malwrhunterteam
— Berk Cem Göksel (@berkcgoksel) 7 de mayo de 2019
O site tenta infectar usuários com código malicioso do tipo adware, que compromete o dispositivo da vítima com o objetivo de apresentar publicidade invasiva.
Enquanto muitos consideram que o adware é algo bastante irritante e não uma infecção tão séria, pelo menos em comparação com outros tipos de código malicioso, como explica o site Bleepingcomputer, vários pacotes de adware que vemos atualmente incluem "serviços" adicionais que propagam tipos mais perigosos de malware, como trojans, mineradores de criptomoedas, ransomware e/ou backdoors que são usados para roubar senhas das vítimas.
O site não oficial do KeePass está bem posicionado nos resultados oferecidos pelos buscadores.
Por outro lado, o adware com o qual muitos usuários são infectados (geralmente através de sites que propagam cracks de programas) vêm em um pacote que também inclui outros programas. Quando o usuário instala o programa que estava procurando, ele também sofre a instalação de "serviços" adicionais em seu computador.
Segundo o Bleepingcomputer, das quatro opções para baixar a ferramenta de gerenciamento de senhas oferecida pelo site não oficial do KeePass, uma versão para Windows, outra portável para Windows, uma versão para Mac e outra para Linux. Cada uma dessas URLs, exceto a versão para Linux, faz o download de pacotes de adware.
Aparência do site não oficial do KeePass e as diferentes versões de instaladores oferecidos.
Esses pacotes de adware são assinados com um certificado de assinatura de código de empresas que mudam frequentemente. Depois que a vítima executa o instalador baixado, será oferecida à vítima a instalação adicional de outros programas, como extensões, mecanismos de pesquisa, entre muitos outros possíveis. Além disso, o pacote de adware carregará uma grande quantidade de informações sobre o dispositivo da vítima, por exemplo, detalhes do hardware, informações sobre a localização, etc. Todas estas informações são usadas para personalizar a publicidade que é apresentada à vítima.
Na última instância e após a instalação dessas promoções, a vítima será questionada se deseja instalar o gerenciador de senhas.
A criação de sites não oficiais de serviços legítimos é uma prática comum. Os usuários devem ter em conta que muitas dessas páginas falsas até podem estar bem posicionadas nos resultados de uma pesquisa através de buscadores como o Google, portanto, é necessário prestar bastante atenção e confirmar que se trata de um site legítimo. Também é importante que os usuários façam downloads através de sites confiáveis e acessem as fontes oficiais, não os sites intermediários. Caso sejam oferecidos serviços adicionais durante a instalação, o ideal é parar o processo.
