Việc tải xuống các chương trình phần mềm tưởng chừng là một tác vụ đơn giản, nhưng chỉ an toàn nếu bạn sử dụng các trang web chính thức hoặc cửa hàng ứng dụng đáng tin cậy. Nếu bạn tải phần mềm từ các nguồn bên thứ ba không xác định hoặc qua torrent, trường hợp phần mềm quản lý mật khẩu KeePass giả mạo này là một lời nhắc nhở rõ ràng về tầm quan trọng của việc lựa chọn nguồn tải chính thống.
Chiến Dịch Mã Độc Đánh Cắp Mật Khẩu KeePass Giả Mạo
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch mã độc tinh vi, trong đó tin tặc đã phân phối các phiên bản bị trojan hóa của phần mềm quản lý mật khẩu KeePass kể từ ít nhất tháng 10 năm 2024. Những phiên bản độc hại này cài đặt một loại mã độc có tên là Cobalt Strike, có khả năng đánh cắp mật khẩu và thông tin đăng nhập đã lưu trữ từ máy tính của bạn, đồng thời triển khai ransomware trên mạng của bạn.
Vì KeePass là một phần mềm mã nguồn mở, tin tặc dễ dàng truy cập vào mã nguồn để tạo ra một bản sao giả mạo rất giống thật. Phiên bản độc hại này được gọi là KeeLoader, và nó chứa tất cả các chức năng của KeePass, nhưng có thêm một tính năng nguy hiểm: nó lưu tất cả mật khẩu của bạn dưới dạng tệp văn bản và gửi chúng đến tin tặc thông qua các “beacon” của Cobalt Strike.
Giao diện so sánh website KeePass chính thức (keepass.info) và website KeePass giả mạo (keeppaswrd.com) đang phát tán mã độc KeeLoader để lừa đảo người dùng tải về.
Việc phân phối các phiên bản KeePass giả mạo này được thực hiện thông qua các trang web lừa đảo sử dụng các tên miền bị lỗi chính tả (typo-squatted domains) nhằm đánh lừa người dùng, ví dụ như:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Một số tên miền này vẫn còn hoạt động và tiếp tục phát tán các phiên bản KeePass giả mạo. Để tiện so sánh, trang web chính thức hợp pháp của KeePass là keepass.info. Các trang web lừa đảo này thậm chí còn xuất hiện thông qua công cụ tìm kiếm Bing của Microsoft. WithSecure cũng tuyên bố rằng các tên miền giả mạo được quảng cáo thông qua DuckDuckGo. Với mối quan hệ đối tác giữa Microsoft và DuckDuckGo trong việc cung cấp quảng cáo, rất có thể chúng cũng được quảng cáo trên Bing.
Toàn bộ chiến dịch này được đưa ra ánh sáng trong quá trình WithSecure điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở châu Âu. Kết quả cho thấy phần mềm quản lý mật khẩu giả mạo không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure lưu ý rằng đây là trường hợp đầu tiên một phần mềm quản lý mật khẩu mã nguồn mở bị sử dụng đồng thời như một công cụ đánh cắp thông tin và một trình tải mã độc.
Luôn Cảnh Giác Khi Tải Phần Mềm: Lời Khuyên Từ Chuyên Gia Bảo Mật
Mặc dù bạn có thể sử dụng trình quản lý mật khẩu tích hợp sẵn trong trình duyệt với một số biện pháp phòng ngừa, nhưng việc sử dụng một chương trình chuyên dụng thường được coi là một giải pháp thay thế bảo mật hơn nhiều. Tin tặc nhắm mục tiêu vào các phần mềm quản lý mật khẩu chính vì lý do này—nó đặt rủi ro vào nơi bạn ít ngờ tới nhất, khiến bạn dễ bị bất ngờ và mất cảnh giác.
Bạn luôn phải tải xuống tất cả các chương trình, đặc biệt là những chương trình nhạy cảm như phần mềm quản lý mật khẩu của mình, từ các trang web chính thức hoặc cửa hàng ứng dụng dựa trên nền tảng của bạn. Việc tải phần mềm và trò chơi từ các trang web bên thứ ba hoặc torrent luôn tiềm ẩn rủi ro chương trình của bạn đi kèm với phần mềm độc hại.
Là một biện pháp phòng ngừa bổ sung, chúng tôi cũng khuyên bạn nên tránh nhấp vào các quảng cáo và liên kết được tài trợ khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, tin tặc đã nhiều lần chứng minh rằng chúng có thể vượt qua các chính sách quảng cáo và hiển thị URL hợp pháp trong khi vẫn chuyển hướng bạn đến các trang web giả mạo.
Kết Luận
Chiến dịch lừa đảo KeePass giả mạo là một minh chứng rõ ràng cho mức độ tinh vi của các mối đe dọa an ninh mạng hiện nay. Để bảo vệ dữ liệu cá nhân và hệ thống của bạn khỏi các cuộc tấn công đánh cắp mật khẩu và ransomware như Cobalt Strike, điều tối quan trọng là phải luôn kiểm tra kỹ lưỡng nguồn gốc của mọi phần mềm bạn tải về. Hãy ưu tiên các kênh chính thức như website nhà phát triển hoặc cửa hàng ứng dụng uy tín và tuyệt đối không tin tưởng vào các liên kết quảng cáo đáng ngờ. An toàn thông tin bắt đầu từ sự cảnh giác của chính bạn.
