Việc tải xuống các chương trình, phần mềm là một tác vụ đơn giản nếu bạn chỉ sử dụng các trang web chính thức hoặc cửa hàng ứng dụng uy tín. Tuy nhiên, nếu bạn lựa chọn các nguồn không chính thống từ bên thứ ba hoặc sử dụng torrent, một mối nguy hiểm tiềm ẩn luôn rình rập. Một ví dụ điển hình là trường hợp phần mềm quản lý mật khẩu KeePass giả mạo vừa được phát hiện, một lời nhắc nhở rõ ràng vì sao các nguồn tải chính thức luôn là lựa chọn tốt nhất để bảo vệ an toàn thông tin cá nhân của bạn.
KeePass Giả Mạo: Mã Độc Đánh Cắp Mật Khẩu Và Hơn Thế Nữa
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch mã độc phức tạp, trong đó tin tặc đã phân phối các phiên bản bị nhiễm trojan của phần mềm quản lý mật khẩu KeePass ít nhất từ tháng 10 năm 2024. Những phiên bản độc hại này được thiết kế để cài đặt mã độc Cobalt Strike lên máy tính của nạn nhân, cho phép chúng đánh cắp mật khẩu đã lưu, thông tin xác thực khác từ PC của bạn và thậm chí triển khai phần mềm tống tiền (ransomware) trên mạng lưới.
Do KeePass là phần mềm mã nguồn mở, tin tặc dễ dàng tiếp cận mã nguồn để tạo ra một bản sao trông rất thuyết phục. Phiên bản độc hại này được gọi là KeeLoader. Nó chứa đầy đủ mọi chức năng của KeePass thông thường, nhưng với một “tính năng” bổ sung nguy hiểm: nó sẽ lưu tất cả mật khẩu của bạn dưới dạng một tệp văn bản và bí mật gửi chúng cho tin tặc thông qua các beacon của Cobalt Strike.
Giao diện so sánh website KeePass chính thức và các trang web giả mạo dùng để phát tán mã độc KeeLoader
Việc phân phối các phiên bản KeePass giả mạo này được thực hiện thông qua các trang web lừa đảo sử dụng kỹ thuật typo-squatting (đăng ký tên miền gần giống với tên miền gốc để lừa người dùng gõ sai). Một số ví dụ về các tên miền độc hại này bao gồm:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Đáng báo động là một số tên miền này vẫn còn hoạt động và tiếp tục phát tán các phiên bản KeePass giả mạo. Để làm rõ, trang web KeePass hợp pháp và chính thức là keepass.info. Các trang web giả mạo được tìm thấy thông qua công cụ tìm kiếm Bing của Microsoft. WithSecure cũng tuyên bố rằng các tên miền giả mạo này được quảng cáo thông qua các quảng cáo trên DuckDuckGo. Tuy nhiên, do Microsoft và DuckDuckGo đã hợp tác về các quảng cáo do Microsoft cung cấp, rất có thể chúng cũng được quảng cáo trên Bing.
Toàn bộ chiến dịch này bị phanh phui trong quá trình WithSecure điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở châu Âu. Kết quả cho thấy phần mềm quản lý mật khẩu giả mạo không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure nhấn mạnh rằng đây là trường hợp đầu tiên một phần mềm quản lý mật khẩu mã nguồn mở được sử dụng đồng thời như một công cụ đánh cắp thông tin xác thực và một trình tải mã độc nguy hiểm.
Luôn Cảnh Giác Khi Tải Và Cài Đặt Phần Mềm
Bạn có thể sử dụng trình quản lý mật khẩu tích hợp sẵn của trình duyệt với các biện pháp phòng ngừa nhất định, nhưng một chương trình chuyên dụng thường là một lựa chọn bảo mật vượt trội hơn. Chính vì lý do này, tin tặc nhắm mục tiêu vào các phần mềm quản lý mật khẩu – chúng tạo ra rủi ro ở nơi bạn ít ngờ tới, khiến bạn dễ bị bất ngờ và mất cảnh giác.
Bạn nên luôn tải xuống tất cả các chương trình, đặc biệt là những ứng dụng nhạy cảm như trình quản lý mật khẩu, từ các trang web chính thức của nhà phát triển hoặc từ cửa hàng ứng dụng dựa trên nền tảng bạn đang sử dụng. Việc tải phần mềm và trò chơi từ các trang web bên thứ ba không rõ nguồn gốc hoặc từ torrent luôn đi kèm với rủi ro cao về việc chương trình của bạn sẽ bị “kèm” thêm mã độc.
Để tăng cường biện pháp phòng ngừa, chúng tôi cũng khuyên bạn nên tránh nhấp vào các quảng cáo và liên kết được tài trợ khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, tin tặc đã nhiều lần chứng minh rằng họ có thể vượt qua các chính sách quảng cáo và hiển thị URL hợp pháp trong khi vẫn chuyển hướng bạn đến các trang web giả mạo.
Kết Luận
Sự xuất hiện của KeePass giả mạo là lời nhắc nhở rõ ràng về tầm quan trọng của việc luôn cảnh giác trong không gian số. Việc bảo vệ thông tin cá nhân và tài khoản của bạn đòi hỏi sự chủ động trong việc kiểm tra nguồn gốc của mọi phần mềm trước khi cài đặt. Hãy luôn ưu tiên tải xuống từ các kênh chính thức và học cách nhận biết các dấu hiệu lừa đảo trực tuyến. Bằng cách thực hiện các biện pháp phòng ngừa đơn giản nhưng hiệu quả này, bạn có thể tự bảo vệ mình khỏi những mối đe dọa tiềm ẩn và duy trì an toàn thông tin trên thiết bị của mình. Hãy chia sẻ thông tin cảnh báo này để giúp cộng đồng độc giả người Việt cùng nâng cao nhận thức về an ninh mạng!
