Việc tải phần mềm từ các nguồn chính thức hoặc kho ứng dụng đáng tin cậy là yếu tố then chốt để đảm bảo an toàn cho thiết bị của bạn. Tuy nhiên, nhiều người dùng vẫn có thói quen tìm kiếm và tải các chương trình từ các nguồn bên thứ ba hoặc qua torrent. Chính thói quen này đang mở ra cánh cửa cho những cuộc tấn công mạng nguy hiểm, mà ví dụ điển hình là chiến dịch phát tán trình quản lý mật khẩu KeePass giả mạo gần đây. Đây là lời nhắc nhở rõ ràng nhất về tầm quan trọng của việc chỉ sử dụng các kênh phân phối hợp pháp.
KeePass Giả Mạo: Chiêu Trò Đánh Cắp Mật Khẩu và Phân Phối Mã Độc
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch malware phức tạp, trong đó tin tặc đã phân phối các phiên bản KeePass bị can thiệp (trojanized) kể từ ít nhất tháng 10 năm 2024. Những phiên bản này không chỉ cài đặt phần mềm độc hại Cobalt Strike – công cụ có khả năng đánh cắp mật khẩu và thông tin đăng nhập từ máy tính cá nhân – mà còn có thể triển khai ransomware trên toàn bộ mạng lưới của nạn nhân.
Chiến dịch mã độc KeeLoader và Cobalt Strike
Do KeePass là một phần mềm mã nguồn mở, tin tặc dễ dàng tiếp cận mã nguồn để tạo ra một bản sao gần như hoàn hảo. Phiên bản độc hại này được gọi là KeeLoader, và nó giữ lại toàn bộ chức năng của KeePass thật, nhưng có thêm một tính năng ẩn cực kỳ nguy hiểm: nó sẽ lưu tất cả mật khẩu của người dùng vào một tệp văn bản và gửi chúng về cho tin tặc thông qua các beacon Cobalt Strike. Điều này cho phép kẻ tấn công dễ dàng truy cập và lợi dụng dữ liệu nhạy cảm của nạn nhân.
Phương thức phát tán và nhận diện website giả mạo
Việc phân phối KeeLoader được thực hiện thông qua các website giả mạo sử dụng kỹ thuật typo-squatting – đăng ký tên miền có lỗi chính tả hoặc rất giống với tên miền gốc để lừa người dùng. Một số tên miền giả mạo đã được phát hiện bao gồm:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Một số trong các tên miền này vẫn còn hoạt động và tiếp tục phát tán các phiên bản KeePass giả mạo. Để đối chiếu, website KeePass chính thức và hợp pháp là keepass.info. WithSecure cũng cho biết các tên miền giả mạo này đã được quảng cáo thông qua công cụ tìm kiếm Bing của Microsoft và quảng cáo của DuckDuckGo (có thể liên quan đến quan hệ đối tác quảng cáo với Microsoft).
Giao diện so sánh website KeePass chính thức và website giả mạo chứa mã độc KeeLoader
Phát hiện từ vụ tấn công ransomware
Toàn bộ chiến dịch lừa đảo này được WithSecure làm sáng tỏ trong quá trình điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở châu Âu. Kết quả điều tra cho thấy, trình quản lý mật khẩu giả mạo không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure nhấn mạnh rằng đây là trường hợp đầu tiên một trình quản lý mật khẩu mã nguồn mở được sử dụng đồng thời như một công cụ đánh cắp thông tin đăng nhập và một bộ tải phần mềm độc hại.
Luôn Cảnh Giác Với Nguồn Tải Phần Mềm
Mặc dù bạn có thể sử dụng trình quản lý mật khẩu tích hợp sẵn của trình duyệt với một số biện pháp phòng ngừa, việc sử dụng một chương trình quản lý mật khẩu chuyên dụng thường được coi là một lựa chọn an toàn hơn nhiều. Chính vì lý do này, tin tặc thường nhắm mục tiêu vào các phần mềm quản lý mật khẩu – chúng đặt rủi ro vào nơi bạn ít ngờ tới nhất, khiến bạn mất cảnh giác.
Bạn nên luôn tải tất cả các chương trình, đặc biệt là những phần mềm nhạy cảm như trình quản lý mật khẩu, từ website chính thức của nhà phát triển hoặc cửa hàng ứng dụng đáng tin cậy trên nền tảng của bạn (ví dụ: Microsoft Store, App Store). Việc tải phần mềm và trò chơi từ các trang web bên thứ ba hoặc torrent luôn tiềm ẩn rủi ro chương trình của bạn đi kèm với mã độc. Hơn nữa, hãy cẩn thận khi nhấp vào các quảng cáo và liên kết được tài trợ có vẻ mời gọi bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, tin tặc đã nhiều lần chứng minh rằng chúng có thể lách các chính sách quảng cáo để hiển thị URL chính xác nhưng vẫn chuyển hướng bạn đến các trang web giả mạo.
Để bảo vệ thông tin cá nhân và dữ liệu quan trọng của bạn, hãy luôn tuân thủ nguyên tắc “nguồn gốc là vàng”. Tránh xa các nguồn không chính thức và luôn kiểm tra kỹ địa chỉ website trước khi tải xuống bất kỳ phần mềm nào. Mức độ cảnh giác cao sẽ giúp bạn tránh được những rủi ro không đáng có từ các chiến dịch mã độc tinh vi.
