Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Manipulierte KeePass-Version im Umlauf

- Warnmeldung

Eine mit Malware infizierte Version des verbreiteten Passwort-Managers KeePass ist im Umlauf. Angreifende können damit nicht nur die Zugangsdaten auslesen, die in KeePass gespeichert sind. Sie können außerdem Persistenz einrichten und sich im infizierten System bewegen. Dies bedeutet eine erhebliche Bedrohung für Nutzende, die KeePass von einer der infizierten Quellen heruntergeladen haben.
Hand gibt auf Laptop Passwort ein

© Adobe Stock

Erhebliche Bedrohung für KeePass-Nutzende

Experten des finnischen IT-Sicherheitsunternehmens WithSecure entdeckten die infizierte KeePass-Version. In ihrem ausführlichen Bericht vom 7. April 2025 erläutern sie den Sachverhalt:

  • Unbekannte Kriminelle manipulierten den KeePass-Quelltext in der KeePass-2.56-Setup.exe und weiteren Installationsdateien.
  • Die Angreifenden nutzten gültige Zertifikate, um die Manipulationen valide wirken zu lassen. Die Zertifikate wurden mittlerweile zurückgezogen.
  • Weiter verbreiteten die Kriminellen die infizierten Installationsdateien mittels manipulierter Werbeanzeigen (Malvertising), die auf gefälschte, aber täuschend echt aussehende Websites verlinken. Auf diesen Domains bieten die Angreifenden die infizierte Version von KeePass zum Herunterladen an.
  • Wenn Betroffene die infizierte KeePass-Version installieren, werden ihre Systeme zeitgleich mit Cobalt Strike Beacons infiziert. Außerdem können die Kriminellen alle in KeePass gespeicherten Informationen wie Passwörter und Anmeldenamen auslesen und abgreifen.

WithSecure stellt in seinem Bericht Kompromittierungsindikatoren (Indicators of Compromise; IoC), eine Liste der gefälschten Domains und eine ausführliche Beschreibung des Infizierungsablaufs bereit.

Bewertung

Der geschilderte Sachverhalt lässt auf eine gut vorbereitete und professionell
ausgeführte cyberkriminelle Kampagne schließen. Die weite Verbreitung von KeePass kombiniert mit gut getarntem Malvertising sowie gut gefälschten Download-Seiten und infizierten Installationsdateien führt zu enormen Sicherheitsrisiken für alle Nutzer einer infizierten KeePass-Version. Installierte Cobalt Strike Beacons und offenliegende KeePass-Datenbanken sind der Nährboden für Credential-Diebstähle, laterale Bewegungen und persistente Angriffe auf interne sowie externe Systeme.

Empfehlungen

  • Installieren Sie die aktuelle Version von KeePass. Diese und weitere Updates zu KeePass sollten Sie nur von den folgenden Webseiten herunterladen:
  • Prüfen Sie Download-Quellen stets kritisch und stellen Sie sicher, dass die Quellen vertrauenswürdig sind.
  • Speisen Sie die IoCs aus dem unten verlinkten Bericht von WithSecure in Ihre SIEM- oder Endpoint-Systeme ein.
  • Prüfen Sie Ihre Systeme mit den IoCs auf Anzeichen einer Kompromittierung.
  • Blockieren Sie die Domains und IP-Adressen, die im unten verlinkten Bericht von WithSecure aufgeführt sind.
  • Prüfen Sie Ihre installierte KeePass-Version mit Ihrer Anti-Malware-Software.
  • Prüfen Sie heruntergeladene Dateien mit Ihrer Anti-Malware-Software.
  • Verwenden Sie Anti-Malware-Software sowie Firewalls und aktualisieren Sie diese regelmäßig oder richten Sie automatische Update-Zyklen ein.

Weitere Informationen