Việc tải xuống các chương trình, ứng dụng có vẻ là một tác vụ đơn giản, nhưng điều này chỉ đúng khi bạn sử dụng các trang web chính thức hoặc cửa hàng ứng dụng uy tín. Nếu bạn có thói quen tải phần mềm từ các nguồn bên thứ ba không rõ ràng hoặc qua torrent, một cảnh báo gần đây về phần mềm quản lý mật khẩu giả mạo sẽ là lời nhắc nhở rõ ràng nhất về lý do tại sao chỉ nên tin tưởng các nguồn chính thức.
Chiến Dịch Mã Độc KeePass Giả Mạo: Cơ Chế Đánh Cắp Mật Khẩu
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch mã độc tinh vi. Kể từ ít nhất tháng 10 năm 2024, tin tặc đã phát tán các phiên bản KeePass, một trình quản lý mật khẩu phổ biến, bị cài mã độc (trojanized). Những phiên bản này sẽ cài đặt một loại mã độc có tên Cobalt Strike, có khả năng đánh cắp mật khẩu và các thông tin đăng nhập khác đã lưu trên máy tính của bạn, đồng thời có thể triển khai ransomware trên mạng của bạn.
Vì KeePass là phần mềm mã nguồn mở, tin tặc đã dễ dàng truy cập mã nguồn để tạo ra một bản sao trông rất thuyết phục. Phiên bản độc hại này được gọi là KeeLoader. Nó chứa đầy đủ mọi chức năng của KeePass thật, nhưng có thêm một tính năng nguy hiểm: nó lưu tất cả mật khẩu của bạn dưới dạng tệp văn bản và gửi chúng cho tin tặc thông qua các tín hiệu Cobalt Strike (Cobalt Strike beacons).
Nhận Diện Các Website Lừa Đảo Phát Tán KeePass Giả Mạo
Việc phân phối phiên bản KeePass độc hại này được thực hiện thông qua các trang web giả mạo sử dụng tên miền bị gõ sai chính tả (typo-squatted domains). Dưới đây là một số ví dụ về các tên miền lừa đảo đã được phát hiện:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Một số tên miền trong danh sách này vẫn đang hoạt động và tiếp tục phát tán các phiên bản KeePass giả mạo. Để tiện so sánh, trang web chính thức hợp pháp của KeePass là keepass.info. Các trang web giả mạo này đã được quảng cáo và hiển thị trên công cụ tìm kiếm Bing của Microsoft. WithSecure cũng tuyên bố rằng các tên miền lừa đảo này được quảng cáo thông qua quảng cáo của DuckDuckGo. Tuy nhiên, do Microsoft và DuckDuckGo có quan hệ đối tác về quảng cáo do Microsoft cung cấp, rất có thể chúng cũng được quảng cáo trên Bing.
Hình ảnh so sánh giao diện website KeePass chính thức và website giả mạo lừa đảo người dùng
Hậu Quả Nghiêm Trọng: Đánh Cắp Dữ Liệu & Phát Tán Ransomware
Toàn bộ chiến dịch này đã được phơi bày trong quá trình WithSecure điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở Châu Âu. Kết quả điều tra cho thấy phần mềm quản lý mật khẩu giả mạo này không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure nhấn mạnh rằng đây là trường hợp đầu tiên một trình quản lý mật khẩu mã nguồn mở bị lợi dụng đồng thời như một công cụ đánh cắp thông tin và một bộ tải mã độc (malware loader).
Lời Khuyên Từ Chuyên Gia: Tải Phần Mềm Đúng Cách Để Bảo Vệ Dữ Liệu
Bạn có thể sử dụng trình quản lý mật khẩu tích hợp của trình duyệt với những biện pháp phòng ngừa nhất định, nhưng việc sử dụng một chương trình chuyên dụng thường được coi là một giải pháp an toàn hơn nhiều. Tin tặc nhắm mục tiêu vào các trình quản lý mật khẩu chính vì lý do này – chúng đặt rủi ro vào nơi bạn ít ngờ tới, nghĩa là chúng có thể khiến bạn mất cảnh giác.
Bạn nên luôn tải xuống tất cả các chương trình, đặc biệt là những chương trình nhạy cảm như trình quản lý mật khẩu, từ các trang web chính thức của nhà phát triển hoặc từ cửa hàng ứng dụng đáng tin cậy trên nền tảng của bạn. Việc tải phần mềm và trò chơi từ các trang web bên thứ ba hoặc torrent luôn tiềm ẩn nguy cơ chương trình của bạn đi kèm với mã độc.
Để tăng cường phòng ngừa, chúng tôi cũng khuyến nghị bạn tránh nhấp vào các quảng cáo và liên kết được tài trợ có nội dung khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, tin tặc đã nhiều lần chứng minh rằng chúng có thể vượt qua các chính sách quảng cáo và hiển thị URL hợp lệ trong khi vẫn chuyển hướng bạn đến các trang web giả mạo.
Hãy luôn cẩn trọng và kiểm tra kỹ nguồn gốc của mọi phần mềm trước khi cài đặt để đảm bảo an toàn cho dữ liệu cá nhân và hệ thống của bạn.
