Việc tải xuống các chương trình, phần mềm là một tác vụ khá đơn giản nếu bạn sử dụng các trang web chính thức hoặc cửa hàng ứng dụng đáng tin cậy. Tuy nhiên, nếu bạn lựa chọn các nguồn không đáng tin cậy từ bên thứ ba hoặc sử dụng torrent, một chiến dịch lừa đảo liên quan đến phần mềm quản lý mật khẩu giả mạo gần đây là lời nhắc nhở rõ ràng nhất về lý do tại sao chỉ nên tải từ các nguồn chính thống. Nguy cơ tiềm ẩn từ các ứng dụng quản lý mật khẩu giả mạo này là cực kỳ lớn, đe dọa trực tiếp đến bảo mật thông tin cá nhân của người dùng.
Phần Mềm Quản Lý Mật Khẩu KeePass Bị Làm Giả Để Đánh Cắp Dữ Liệu
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch malware phức tạp, trong đó tin tặc đã phân phối các phiên bản bị trojan hóa của trình quản lý mật khẩu KeePass từ ít nhất tháng 10 năm 2024. Những phiên bản độc hại này cài đặt một loại mã độc có tên Cobalt Strike, có khả năng đánh cắp các mật khẩu đã lưu và thông tin đăng nhập khác từ máy tính của bạn, đồng thời có thể triển khai ransomware trên mạng lưới.
Vì KeePass là phần mềm mã nguồn mở, tin tặc dễ dàng truy cập mã nguồn để tạo ra một bản sao trông rất thuyết phục. Phiên bản độc hại này được đặt tên là KeeLoader, và nó chứa tất cả các chức năng của KeePass, nhưng có thêm tính năng nguy hiểm là lưu tất cả mật khẩu của bạn dưới dạng tệp văn bản và gửi chúng đến tin tặc thông qua các beacon của Cobalt Strike.
Hình ảnh so sánh website KeePass chính thức và website KeePass giả mạo được tạo để lừa đảo người dùng.
Việc phân phối các phiên bản KeeLoader này được thực hiện thông qua các trang web giả mạo sử dụng tên miền typo-squatted (đánh máy sai tên miền gốc) như: keeppaswrd.com, keegass.com, KeePass.me, keespass.biz, keebass.com, KeePassx.com. Một số tên miền này vẫn còn hoạt động và tiếp tục phát tán các phiên bản KeePass giả mạo. Để tiện so sánh, trang web KeePass chính thức là keepass.info. Các trang web giả mạo thậm chí đã xuất hiện trên công cụ tìm kiếm Bing của Microsoft. WithSecure cho biết các tên miền giả mạo cũng được quảng cáo thông qua DuckDuckGo, và với việc Microsoft và DuckDuckGo hợp tác trong các quảng cáo do Microsoft cung cấp, khả năng chúng cũng được quảng cáo trên Bing là rất cao.
Toàn bộ chiến dịch đã được phơi bày trong quá trình WithSecure điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở châu Âu. Hóa ra, phần mềm quản lý mật khẩu giả mạo này không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure lưu ý rằng đây là trường hợp đầu tiên một trình quản lý mật khẩu mã nguồn mở được sử dụng đồng thời như một công cụ đánh cắp thông tin xác thực và một trình tải mã độc.
Luôn Cảnh Giác Với Nguồn Tải Phần Mềm
Bạn có thể sử dụng trình quản lý mật khẩu tích hợp sẵn của trình duyệt với các biện pháp phòng ngừa nhất định, nhưng việc dùng một chương trình chuyên dụng thường là một giải pháp thay thế an toàn hơn đáng kể. Tin tặc nhắm mục tiêu vào các trình quản lý mật khẩu chính vì lý do này—nó tạo ra rủi ro ở nơi bạn ít ngờ tới nhất, khiến bạn mất cảnh giác.
Màn hình điện thoại hiển thị ứng dụng 1Password trên cửa hàng ứng dụng, minh họa một giải pháp quản lý mật khẩu chuyên dụng.
Bạn nên luôn tải xuống tất cả các chương trình, đặc biệt là những ứng dụng nhạy cảm như trình quản lý mật khẩu, từ các trang web chính thức của chúng hoặc cửa hàng ứng dụng tương ứng với nền tảng bạn đang sử dụng. Việc tải phần mềm và trò chơi từ các trang web bên thứ ba hoặc torrent luôn đi kèm với rủi ro rằng chương trình của bạn sẽ có thêm “phần phụ” là mã độc.
Là một biện pháp phòng ngừa bổ sung, chúng tôi cũng khuyến nghị bạn tránh nhấp vào các quảng cáo và liên kết được tài trợ khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp lệ của chương trình, tin tặc đã nhiều lần chứng minh rằng họ có thể vượt qua các chính sách quảng cáo và hiển thị URL hợp lệ trong khi vẫn chuyển hướng bạn đến các trang web giả mạo.
Kết luận
Chiến dịch KeePass giả mạo là lời cảnh tỉnh mạnh mẽ về những mối đe dọa bảo mật tinh vi ngày càng gia tăng. Việc tin tặc khai thác phần mềm mã nguồn mở để tạo ra công cụ đánh cắp thông tin và phát tán ransomware cho thấy tầm quan trọng của việc luôn cảnh giác. Để bảo vệ dữ liệu cá nhân và hệ thống của mình, hãy luôn tải phần mềm từ các nguồn chính thức và tránh xa các liên kết đáng ngờ.
Hãy chia sẻ bài viết này để giúp cộng đồng người dùng Việt Nam nâng cao nhận thức về các mối đe dọa này. Bạn có bất kỳ kinh nghiệm nào với các phần mềm giả mạo hoặc mẹo bảo mật nào muốn chia sẻ không? Hãy để lại bình luận bên dưới!
