Việc tải xuống các chương trình, ứng dụng về máy tính dường như là một tác vụ đơn giản, nhưng điều này chỉ an toàn khi bạn sử dụng các trang web chính thức hoặc kho ứng dụng đáng tin cậy. Nếu bạn thường xuyên tải phần mềm từ các nguồn bên thứ ba hoặc qua torrent, trường hợp phần mềm quản lý mật khẩu giả mạo này chính là lời nhắc nhở rõ ràng nhất về lý do tại sao chỉ nên tin tưởng các nguồn chính thức.
Mối Nguy Từ KeePass Giả Mạo: Chiêu Trò Đánh Cắp Mật Khẩu Tinh Vi
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch malware quy mô lớn, trong đó tin tặc đã phân phối các phiên bản bị trojan hóa của phần mềm quản lý mật khẩu KeePass từ tháng 10 năm 2024. Những phiên bản độc hại này cài đặt một loại mã độc có tên Cobalt Strike, có khả năng đánh cắp mật khẩu đã lưu và các thông tin đăng nhập khác từ máy tính của bạn, đồng thời triển khai ransomware trên mạng lưới của bạn.
Vì KeePass là một phần mềm mã nguồn mở, tin tặc đã dễ dàng truy cập vào mã nguồn để tạo ra một bản sao trông rất giống bản gốc. Phiên bản độc hại này được gọi là KeeLoader và chứa tất cả chức năng của KeePass, nhưng có một điểm khác biệt nguy hiểm: nó lưu tất cả mật khẩu của bạn dưới dạng một tệp văn bản và gửi chúng về cho tin tặc thông qua các tín hiệu Cobalt Strike (Cobalt Strike beacons).
Giao diện so sánh website KeePass chính thức và các trang web giả mạo phân phối phần mềm quản lý mật khẩu lừa đảo
Việc phân phối phần mềm quản lý mật khẩu giả mạo này được thực hiện thông qua các trang web lừa đảo sử dụng kỹ thuật “typo-squatting” – đăng ký các tên miền gần giống với tên miền chính thức để đánh lừa người dùng. Một số tên miền độc hại đã được xác định bao gồm:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Một số tên miền này vẫn đang hoạt động và tiếp tục phân phối các phiên bản KeePass giả mạo. Để tiện so sánh, trang web chính thức hợp pháp của KeePass là keepass.info. Các trang web giả mạo đã xuất hiện trên công cụ tìm kiếm Bing của Microsoft. WithSecure cũng tuyên bố rằng các tên miền giả mạo này còn được quảng cáo thông qua các quảng cáo trên DuckDuckGo. Tuy nhiên, do Microsoft và DuckDuckGo đã hợp tác về các quảng cáo do Microsoft cung cấp, khả năng cao chúng cũng được quảng cáo trên Bing.
Toàn bộ chiến dịch này đã được phanh phui trong quá trình WithSecure điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ IT ở châu Âu. Kết quả điều tra cho thấy phần mềm quản lý mật khẩu giả mạo không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure nhấn mạnh rằng đây là trường hợp đầu tiên một phần mềm quản lý mật khẩu mã nguồn mở bị lạm dụng đồng thời như một công cụ đánh cắp thông tin xác thực và một trình tải mã độc (malware loader).
Luôn Cảnh Giác Với Nguồn Tải Phần Mềm
Bạn có thể sử dụng trình quản lý mật khẩu tích hợp của trình duyệt với một số biện pháp phòng ngừa, nhưng sử dụng một chương trình chuyên dụng thường là một giải pháp bảo mật hơn nhiều. Tin tặc nhắm mục tiêu vào các phần mềm quản lý mật khẩu chính vì lý do này—nó đặt rủi ro vào nơi bạn ít ngờ tới nhất, nghĩa là chúng có thể khiến bạn mất cảnh giác.
Bạn phải luôn tải xuống tất cả các chương trình, đặc biệt là những chương trình nhạy cảm như phần mềm quản lý mật khẩu, từ các trang web chính thức của nhà phát triển hoặc từ kho ứng dụng dựa trên nền tảng bạn đang sử dụng. Việc tải phần mềm và trò chơi từ các trang web bên thứ ba hoặc torrent luôn tiềm ẩn nguy cơ chương trình của bạn đi kèm với mã độc.
Để phòng ngừa thêm, chúng tôi cũng khuyên bạn nên tránh nhấp vào các quảng cáo và liên kết được tài trợ khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, tin tặc đã nhiều lần chứng minh rằng chúng có thể vượt qua các chính sách quảng cáo và hiển thị URL hợp pháp trong khi vẫn chuyển hướng bạn đến các trang web giả mạo.
Hãy chia sẻ bài viết này để giúp bạn bè và người thân của bạn cảnh giác hơn với các mối đe dọa an ninh mạng!
