Việc tải xuống các chương trình phần mềm tưởng chừng là một tác vụ đơn giản, nhưng điều này chỉ đúng khi bạn sử dụng các trang web chính thức hoặc cửa hàng ứng dụng đáng tin cậy. Một chiến dịch tấn công gần đây liên quan đến phần mềm quản lý mật khẩu giả mạo đã một lần nữa nhắc nhở chúng ta về tầm quan trọng của việc chỉ tải xuống từ các nguồn đáng tin cậy. Đây là lời cảnh báo nghiêm trọng cho bất kỳ ai đang sử dụng hoặc có ý định tải KeePass.
Chiến Dịch Malware Tấn Công KeePass: Khi Quản Lý Mật Khẩu Thành Nơi Nguy Hiểm
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch malware tinh vi, trong đó những kẻ tấn công đã phát tán các phiên bản KeePass bị “trojan hóa” (chèn mã độc) từ ít nhất tháng 10 năm 2024. Những phiên bản độc hại này cài đặt một loại malware gọi là Cobalt Strike, có khả năng đánh cắp mật khẩu đã lưu và các thông tin đăng nhập khác từ máy tính của bạn, đồng thời có thể triển khai ransomware trên mạng lưới.
Với bản chất mã nguồn mở của KeePass, tin tặc dễ dàng truy cập mã nguồn để tạo ra một bản sao trông rất thuyết phục. Phiên bản độc hại này được gọi là KeeLoader, sở hữu đầy đủ các chức năng của KeePass thật, nhưng có thêm một tính năng nguy hiểm: nó lưu tất cả mật khẩu của bạn dưới dạng tệp văn bản và gửi chúng đến kẻ tấn công thông qua các beacon Cobalt Strike.
Nhận Diện Các Trang Web Giả Mạo và Cách Phòng Tránh
Việc phân phối phiên bản KeePass giả mạo được thực hiện thông qua các trang web lừa đảo sử dụng các tên miền “typo-squatted” (tên miền gần giống, dễ gõ nhầm) như sau:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Một số tên miền này vẫn đang hoạt động và tiếp tục phát tán các phiên bản KeePass giả mạo. Để đối chiếu, trang web chính thức và hợp pháp của KeePass là keepass.info. WithSecure cho biết các tên miền giả mạo này đã xuất hiện thông qua công cụ tìm kiếm Bing của Microsoft và được quảng cáo trên DuckDuckGo. Khả năng cao chúng cũng được quảng cáo trên Bing do sự hợp tác quảng cáo giữa Microsoft và DuckDuckGo.
So sánh website KeePass chính thức (keepass.info) và các trang web KeePass giả mạo dùng để phát tán phiên bản trojan hóa, minh họa chiêu trò lừa đảo tải xuống phần mềm quản lý mật khẩu độc hại.
Bài Học Từ Sự Cố Ransomware: KeePass Vừa Đánh Cắp Mật Khẩu Vừa Triển Khai Mã Độc
Toàn bộ chiến dịch này được đưa ra ánh sáng trong quá trình WithSecure điều tra một sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở châu Âu. Qua điều tra, họ phát hiện ra rằng phần mềm quản lý mật khẩu giả mạo không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên các máy chủ VMware ESXi của công ty. WithSecure nhấn mạnh đây là trường hợp đầu tiên một phần mềm quản lý mật khẩu mã nguồn mở được sử dụng đồng thời như một công cụ đánh cắp thông tin xác thực và một trình tải malware.
Bạn có thể sử dụng trình quản lý mật khẩu tích hợp sẵn của trình duyệt với các biện pháp phòng ngừa nhất định, nhưng một chương trình chuyên dụng thường là một lựa chọn an toàn hơn. Tuy nhiên, tin tặc nhắm vào các phần mềm quản lý mật khẩu vì lý do này: chúng đặt rủi ro vào nơi bạn ít ngờ tới nhất, khiến bạn dễ bị bất ngờ.
Do đó, bạn nên luôn tải tất cả các chương trình, đặc biệt là những phần mềm nhạy cảm như quản lý mật khẩu, từ trang web chính thức của nhà phát triển hoặc từ cửa hàng ứng dụng đáng tin cậy trên nền tảng của bạn. Việc tải phần mềm và trò chơi từ các trang web bên thứ ba hoặc từ torrent luôn tiềm ẩn nguy cơ chương trình của bạn đi kèm với mã độc.
Để tăng cường bảo mật, chúng tôi cũng khuyên bạn nên tránh nhấp vào các quảng cáo và liên kết được tài trợ mà khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, tin tặc đã nhiều lần chứng minh rằng chúng có thể vượt qua chính sách quảng cáo và hiển thị URL hợp lệ trong khi vẫn chuyển hướng bạn đến các trang web giả mạo. Hãy luôn cảnh giác và kiểm tra kỹ lưỡng nguồn gốc trước khi tải bất kỳ phần mềm nào.
