Tải xuống các chương trình, phần mềm là một nhiệm vụ tưởng chừng đơn giản, nhưng điều đó chỉ đúng khi bạn sử dụng các trang web chính thức hoặc cửa hàng ứng dụng uy tín. Nếu bạn có thói quen tải từ các nguồn bên thứ ba hoặc torrent, câu chuyện về trình quản lý mật khẩu giả mạo này là một lời nhắc nhở rõ ràng về tầm quan trọng của việc luôn ưu tiên các nguồn chính thống.
KeePass Giả Mạo: Mã Độc Nguy Hiểm Đằng Sau Trình Quản Lý Mật Khẩu Yêu Thích
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch mã độc nguy hiểm, trong đó tin tặc đã phân phối các phiên bản bị trojan hóa của trình quản lý mật khẩu KeePass ít nhất từ tháng 10 năm 2024. Những phiên bản độc hại này không chỉ cài đặt mã độc có tên Cobalt Strike, mà còn có khả năng đánh cắp mật khẩu và các thông tin đăng nhập khác từ máy tính của bạn, thậm chí triển khai ransomware trên toàn bộ mạng lưới của bạn.
KeeLoader: Kẻ Hai Mặt Đánh Cắp Thông Tin và Phát Tán Mã Độc
Vì KeePass là một phần mềm mã nguồn mở, tin tặc có thể dễ dàng tiếp cận mã nguồn để tạo ra một bản sao gần như hoàn hảo. Phiên bản độc hại này được đặt tên là KeeLoader, và nó chứa tất cả các chức năng của KeePass, nhưng có một điểm khác biệt chết người: nó lưu tất cả mật khẩu của bạn dưới dạng một tệp văn bản và bí mật gửi chúng cho tin tặc thông qua các tín hiệu Cobalt Strike (Cobalt Strike beacons).
Chiêu Trò Phân Phối Mã Độc Qua Website Giả Mạo
Việc phân phối các phiên bản KeePass giả mạo được thực hiện thông qua các trang web lừa đảo sử dụng các tên miền bị lỗi chính tả (typo-squatted domains), ví dụ như:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Một số tên miền này hiện vẫn đang hoạt động và tiếp tục phát tán các phiên bản KeePass độc hại. Để so sánh, trang web KeePass chính thức và hợp pháp là keepass.info. Các trang web giả mạo thậm chí còn xuất hiện thông qua công cụ tìm kiếm Bing của Microsoft. WithSecure cho biết các tên miền giả mạo này được quảng cáo thông qua DuckDuckGo. Tuy nhiên, với mối quan hệ đối tác về quảng cáo giữa Microsoft và DuckDuckGo, khả năng cao chúng cũng được quảng cáo trên Bing.
So sánh website giả mạo KeePass và trang chính thức để cảnh báo lừa đảo
Toàn bộ chiến dịch mã độc này được phát hiện trong quá trình WithSecure điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở châu Âu. Hóa ra, trình quản lý mật khẩu giả mạo này không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure nhấn mạnh rằng đây là trường hợp đầu tiên một trình quản lý mật khẩu mã nguồn mở được sử dụng đồng thời như một công cụ đánh cắp thông tin và một trình tải mã độc.
Luôn Cảnh Giác Với Nguồn Tải Phần Mềm và Quảng Cáo Trực Tuyến
Bạn có thể sử dụng trình quản lý mật khẩu tích hợp sẵn trong trình duyệt với các biện pháp phòng ngừa nhất định, nhưng việc sử dụng một chương trình quản lý mật khẩu chuyên dụng thường là một giải pháp an toàn hơn nhiều. Tin tặc nhắm mục tiêu vào các trình quản lý mật khẩu chính vì lý do này—chúng đặt rủi ro vào nơi bạn ít ngờ tới nhất, khiến bạn dễ bị mắc bẫy.
Tầm Quan Trọng Tuyệt Đối Của Nguồn Tải Chính Thức
Bạn phải luôn tải xuống tất cả các chương trình, đặc biệt là những chương trình nhạy cảm như trình quản lý mật khẩu, từ trang web chính thức của nhà phát triển hoặc từ cửa hàng ứng dụng dựa trên nền tảng bạn đang sử dụng. Việc tải phần mềm và trò chơi từ các trang web của bên thứ ba hoặc từ torrent luôn tiềm ẩn nguy cơ chương trình của bạn sẽ đi kèm với mã độc.
Cẩn Trọng Với Quảng Cáo và Liên Kết Được Tài Trợ
Là một biện pháp phòng ngừa bổ sung, chúng tôi cũng khuyên bạn nên tránh nhấp vào các quảng cáo và liên kết được tài trợ khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, tin tặc đã nhiều lần chứng minh rằng chúng có thể vượt qua các chính sách quảng cáo và hiển thị URL chính thức trong khi vẫn chuyển hướng bạn đến các trang web giả mạo.
Tóm lại, sự xuất hiện của phiên bản KeePass giả mạo với khả năng đánh cắp mật khẩu và phát tán ransomware là một lời nhắc nhở nghiêm túc về tầm quan trọng của an toàn trực tuyến. Để bảo vệ dữ liệu cá nhân và hệ thống của bạn, hãy luôn kiểm tra kỹ nguồn gốc của mọi phần mềm trước khi tải về, đặc biệt là các công cụ quản lý thông tin nhạy cảm. Hãy cảnh giác với các liên kết quảng cáo và luôn ưu tiên trang web chính thức để tải xuống, bởi một chút bất cẩn có thể dẫn đến những hậu quả nặng nề không lường trước được.
