Việc tải xuống các chương trình, ứng dụng tưởng chừng đơn giản, nhưng chỉ an toàn khi bạn sử dụng các trang web chính thức hoặc cửa hàng ứng dụng uy tín. Với cộng đồng công nghệ tại Việt Nam, đây là lời cảnh báo khẩn cấp từ thuthuatdidong.net về mối nguy hiểm tiềm tàng khi tải phần mềm từ các nguồn không đáng tin cậy, đặc biệt là phiên bản KeePass giả mạo đang bị kẻ xấu lợi dụng để đánh cắp mật khẩu và phát tán mã độc.
KeePass giả mạo: Công cụ đánh cắp mật khẩu và phát tán mã độc tinh vi
Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện một chiến dịch malware tinh vi, trong đó tin tặc đã phân phối các phiên bản bị trojan hóa của trình quản lý mật khẩu KeePass ít nhất từ tháng 10 năm 2024. Những phiên bản độc hại này được thiết kế để cài đặt một loại mã độc nguy hiểm có tên là Cobalt Strike. Cobalt Strike có khả năng đánh cắp các mật khẩu đã lưu, thông tin đăng nhập (credentials) và các dữ liệu nhạy cảm khác từ máy tính của bạn, đồng thời có thể triển khai ransomware trên toàn bộ mạng lưới của nạn nhân.
Với bản chất mã nguồn mở của KeePass, tin tặc dễ dàng tiếp cận mã nguồn để tạo ra một bản sao giả mạo cực kỳ thuyết phục. Phiên bản độc hại này được gọi là KeeLoader. Điều đáng lo ngại là KeeLoader vẫn giữ nguyên tất cả các chức năng của KeePass thông thường, nhưng bổ sung thêm tính năng lưu trữ tất cả mật khẩu của bạn dưới dạng tệp văn bản và sau đó gửi chúng về cho tin tặc thông qua các beacon Cobalt Strike.
Giao diện website chính thức KeePass.info và website KeePass giả mạo sử dụng tên miền lừa đảo
Việc phân phối các bản KeePass giả mạo này được thực hiện thông qua các trang web lừa đảo sử dụng kỹ thuật “typo-squatting”, tức là các tên miền bị gõ sai chính tả hoặc có biến thể rất giống với tên miền gốc để đánh lừa người dùng. Một số ví dụ về các tên miền độc hại này bao gồm:
- keeppaswrd.com
- keegass.com
- KeePass.me
- keespass.biz
- keebass.com
- KeePassx.com
Đáng chú ý, một số tên miền trong danh sách này vẫn còn hoạt động và tiếp tục phân phối các phiên bản KeePass giả mạo. Để làm rõ, trang web chính thức và hợp pháp của KeePass là keepass.info. Theo WithSecure, các tên miền giả mạo này đã được quảng cáo thông qua công cụ tìm kiếm Bing của Microsoft và các quảng cáo trên DuckDuckGo. Do mối quan hệ đối tác giữa Microsoft và DuckDuckGo về quảng cáo, khả năng cao chúng cũng được quảng cáo trên Bing.
Toàn bộ chiến dịch lừa đảo này được WithSecure phát hiện trong quá trình điều tra một sự cố ransomware nghiêm trọng tại một nhà cung cấp dịch vụ IT ở châu Âu. Kết quả điều tra cho thấy trình quản lý mật khẩu giả mạo này không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware lên các máy chủ VMware ESXi của công ty. VớiSecure cũng nhấn mạnh rằng đây là trường hợp đầu tiên một trình quản lý mật khẩu mã nguồn mở bị lạm dụng cùng lúc vừa làm công cụ đánh cắp thông tin, vừa làm bộ tải mã độc.
Luôn cẩn trọng với nguồn tải phần mềm: Bảo vệ dữ liệu cá nhân của bạn
Mặc dù bạn có thể sử dụng trình quản lý mật khẩu tích hợp sẵn trong trình duyệt với một số biện pháp phòng ngừa, nhưng việc sử dụng một chương trình chuyên dụng như KeePass thường được coi là một giải pháp thay thế an toàn hơn đáng kể. Chính vì lý do này, tin tặc thường nhắm mục tiêu vào các trình quản lý mật khẩu chuyên dụng—chúng tạo ra rủi ro ở nơi bạn ít ngờ tới nhất, khiến bạn dễ bị bất ngờ và mất cảnh giác.
Để bảo vệ bản thân và dữ liệu nhạy cảm, bạn phải luôn tải tất cả các chương trình, đặc biệt là những chương trình nhạy cảm như trình quản lý mật khẩu, từ trang web chính thức của nhà phát triển hoặc từ cửa hàng ứng dụng đáng tin cậy dựa trên nền tảng của bạn (ví dụ: Microsoft Store, Google Play Store, Apple App Store). Việc tải phần mềm và trò chơi từ các trang web của bên thứ ba hoặc qua torrent luôn tiềm ẩn rủi ro rất lớn, có thể khiến chương trình của bạn đi kèm với một lượng mã độc không mong muốn.
Là một biện pháp phòng ngừa bổ sung, thuthuatdidong.net cũng khuyên bạn nên tránh nhấp vào các quảng cáo và liên kết được tài trợ, đặc biệt là những liên kết khuyến khích bạn tải xuống một chương trình. Ngay cả khi quảng cáo hiển thị URL hợp pháp của chương trình, tin tặc đã nhiều lần chứng minh rằng chúng có thể vượt qua các chính sách quảng cáo và hiển thị URL hợp pháp trong khi vẫn chuyển hướng bạn đến các trang web giả mạo.
Hãy luôn cảnh giác và cập nhật kiến thức bảo mật để bảo vệ thông tin cá nhân của mình. Đừng quên chia sẻ thông tin cảnh báo này để cộng đồng công nghệ cùng nâng cao ý thức phòng tránh!
