Se trata de un sitio que promueve el uso del administrador de contraseña y que aparece en la primera página de los resultados de los motores de búsqueda, como Google, ante la búsqueda del término “keepass”. Los responsables detrás de este sitio no oficial (el sitio oficial de la herramienta es keepass.info), evidencian haber trabajado en la optimización para los motores de búsqueda del sitio con el objetivo de que aparezca bien posicionado ante las búsquedas de los usuarios.
keepass(dot)com spreading malware acting as the official site for KeePass password manager. Download for .dmg and .exe files are available on the site.@malwrhunterteam
— Berk Cem Göksel (@berkcgoksel) 7 de mayo de 2019
El sitio busca infectar a los usuarios con código malicioso del tipo adware, que lo que hace es comprometer el equipo de la víctima para desplegar publicidad invasiva.
Si bien muchos consideran que el adware se trata más bien de algo molesto y no tanto de una infección seria, al menos a comparación con otro tipo de código malicioso, tal como explica el sitio Bleepingcomputer, varios paquetes de adware que vemos en la actualidad incluyen "servicios" adicionales que distribuyen tipos de malware más peligrosos, como troyanos, mineros de criptomonedas, ransomware y/o backdoors que son utilizados para robar contraseñas de sus víctimas.
Por otra parte, el adware con el que muchos usuarios se infectan (comunmente a través de sitios que distribuyen cracks de programas) vienen en un paquete que también incluye otros programas. Cuando el usuario instala el programa que buscaba, también sufre la instalación de "servicios" adicionales en su equipo.
De las cuatro opciones para descargar la herramienta de administración de contraseñas que ofrece KeePass.com, una versión para Windows, otra portable para Windows, una versión para Mac y una última para Linux; cada una de estas URL, salvo la versión para Linux, descargan paquetes de adware, explicó el medio de tecnología.
Estos paquetes de adware están firmados con un certificado de firma de código de empresas que cambian con frecuencia. Una vez que la víctima ejecuta el instalador descargado, a la víctima se le ofrecerá la instalación adicional de otros programas, como extensiones, buscadores de ofertas, entre otros tantos posibles. Además, el paquete de adware subirá una gran cantidad de información sobre su equipo, por ejemplo, detalles de su hardware, información sobre su ubicación, etc. Toda esta información es utilizada para personalizar la publicidad que se muestra a la víctima.
En una última instancia y luego de instalar estas promociones, se preguntará a la víctima si desea instalar el administrador de contraseñas.
La creación de falsos sitios que suplantan la identidad de servicios legítimos es una práctica común. Los usuarios deben tener en cuenta que muchos de estos falsos sitios incluso aparecen bien posicionados en los resultados de una búsqueda a través de buscadores como Google, por lo tanto, deberán prestar atención para corroborar que se trata del sitio legítimo. En este sentido, es importante que los usuarios realicen descargas de sitios confiables y vayan a las fuentes, no a sitios intermediarios. En caso de que se les ofrezca instalar servicios adicionales se recomienda detener la instalación.