Việc tải xuống các chương trình, phần mềm máy tính có vẻ là một tác vụ đơn giản, nhưng điều đó chỉ đúng khi bạn sử dụng các trang web chính thức hoặc cửa hàng ứng dụng đáng tin cậy. Nếu bạn có thói quen tìm kiếm phần mềm từ các nguồn bên thứ ba hoặc các trang torrent, cảnh báo về phần mềm quản lý mật khẩu giả mạo này chính là lời nhắc nhở mạnh mẽ nhất về tầm quan trọng của việc chỉ tin dùng các nguồn chính thức. Mã độc ẩn mình trong một ứng dụng tưởng chừng như vô hại có thể trở thành mối đe dọa nghiêm trọng, đánh cắp thông tin cá nhân và gây ra những tổn thất không lường trước.
KeePass Giả Mạo: Chiêu Trò Tinh Vi Đánh Cắp Mật Khẩu Người Dùng
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch malware tinh vi, trong đó những kẻ tấn công đã phát tán các phiên bản KeePass bị Trojan hóa kể từ ít nhất là tháng 10 năm 2024. Những phiên bản độc hại này được thiết kế để cài đặt mã độc Cobalt Strike, một công cụ có khả năng đánh cắp mật khẩu đã lưu và các thông tin đăng nhập khác từ máy tính của bạn, đồng thời có thể triển khai ransomware trên mạng của bạn.
Do KeePass là phần mềm mã nguồn mở, những kẻ tấn công dễ dàng truy cập mã nguồn để tạo ra một bản sao gần như hoàn hảo. Phiên bản độc hại này được đặt tên là KeeLoader. Nó vẫn giữ nguyên toàn bộ chức năng của KeePass, nhưng điểm khác biệt nguy hiểm là nó sẽ lưu tất cả mật khẩu của bạn dưới dạng tệp văn bản và gửi chúng cho kẻ tấn công thông qua các beacon Cobalt Strike.
Ảnh minh họa các trang web KeePass giả mạo chuyên lừa đảo người dùng
Chiến dịch phân phối mã độc được thực hiện thông qua các trang web giả mạo sử dụng kỹ thuật “typo-squatting” – đăng ký các tên miền gần giống với tên miền chính thức để lừa người dùng. Một số tên miền độc hại đã được sử dụng bao gồm:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Đáng báo động là một số tên miền này vẫn còn hoạt động và tiếp tục phát tán các phiên bản KeePass giả mạo. Để đối chiếu, trang web KeePass chính thức và an toàn là keepass.info. WithSecure cũng cho biết các tên miền giả mạo này đã được quảng cáo thông qua công cụ tìm kiếm Bing của Microsoft và quảng cáo của DuckDuckGo.
Toàn bộ chiến dịch độc hại này được đưa ra ánh sáng trong quá trình WithSecure điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở châu Âu. Kết quả điều tra cho thấy phần mềm quản lý mật khẩu giả mạo không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure nhấn mạnh rằng đây là trường hợp đầu tiên một phần mềm quản lý mật khẩu mã nguồn mở bị lạm dụng đồng thời như một công cụ đánh cắp thông tin và một trình tải mã độc.
Lời Khuyên An Toàn: Luôn Tải Phần Mềm Từ Nguồn Chính Thức
Mặc dù bạn có thể sử dụng trình quản lý mật khẩu của trình duyệt với một số biện pháp phòng ngừa, việc sử dụng một chương trình quản lý mật khẩu chuyên dụng thường được coi là một giải pháp an toàn hơn nhiều. Chính vì lý do này, những kẻ tấn công nhắm mục tiêu vào các phần mềm quản lý mật khẩu – chúng đặt rủi ro vào nơi bạn ít ngờ tới nhất, khiến bạn dễ bị bất ngờ và sập bẫy.
Để bảo vệ bản thân và dữ liệu của mình, bạn luôn luôn phải tải xuống tất cả các chương trình, đặc biệt là những phần mềm nhạy cảm như trình quản lý mật khẩu, từ trang web chính thức của nhà phát triển hoặc cửa hàng ứng dụng dựa trên nền tảng của bạn (ví dụ: Microsoft Store, App Store, Google Play Store). Việc tải xuống phần mềm và trò chơi từ các trang web của bên thứ ba hoặc torrent luôn tiềm ẩn nguy cơ chương trình bạn tải về đã bị cài cắm mã độc.
Là một biện pháp phòng ngừa bổ sung, chúng tôi cũng khuyến nghị bạn nên tránh nhấp vào các quảng cáo và liên kết được tài trợ mà khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, những kẻ tấn công đã nhiều lần chứng minh rằng chúng có thể vượt qua các chính sách quảng cáo và hiển thị URL hợp pháp trong khi vẫn chuyển hướng bạn đến các trang web giả mạo chứa mã độc.
Kết Luận
Chiến dịch KeePass giả mạo là một lời nhắc nhở đau đớn về mức độ tinh vi của các mối đe dọa an ninh mạng ngày nay. Việc tải phần mềm từ các nguồn không chính thức không chỉ đơn thuần là rủi ro nhỏ; nó có thể dẫn đến việc đánh cắp mật khẩu, thông tin cá nhân và thậm chí là các cuộc tấn công ransomware quy mô lớn. Với vai trò là người dùng thông thái, bạn cần nâng cao cảnh giác, kiểm tra kỹ nguồn gốc của mọi phần mềm trước khi cài đặt và luôn ưu tiên các kênh phân phối chính thức. Hãy bảo vệ mật khẩu và dữ liệu của bạn bằng cách chỉ tải xuống các ứng dụng từ những nguồn đáng tin cậy nhất.
Nếu bạn có bất kỳ câu hỏi hoặc kinh nghiệm nào về việc bảo vệ mật khẩu và an ninh mạng, đừng ngần ngại chia sẻ trong phần bình luận bên dưới!
