Trình quản lý mật khẩu fake này nhắc nhở bạn chú ý đến nơi mình tải xuống

Tải xuống chương trình là một nhiệm vụ khá dễ dàng, nhưng chỉ khi bạn sử dụng các trang web hoặc cửa hàng ứng dụng chính thức. Nếu bạn sử dụng các nguồn của bên thứ ba hoặc torrent, trình quản lý mật khẩu fake này là lời nhắc nhở hữu ích về lý do tại sao các nguồn chính thức lại quan trọng đến vậy.

Trình quản lý mật khẩu này đánh cắp mật khẩu của bạn

Các nhà nghiên cứu bảo mật tại WithSecure đã phát hiện ra một chiến dịch phần mềm độc hại trong đó tin tặc phân phối những phiên bản trojan của trình quản lý mật khẩu KeePass kể từ ít nhất tháng 10 năm 2024. Các phiên bản này cài đặt phần mềm độc hại có tên là Cobalt Strike cùng với trình quản lý mật khẩu, có thể đánh cắp mật khẩu đã lưu và những thông tin xác thực khác từ PC và triển khai ransomware trên mạng của bạn.

Vì KeePass là mã nguồn mở nên tin tặc dễ dàng truy cập vào mã nguồn để tạo bản sao thuyết phục. Phiên bản độc hại này được gọi là KeeLoader và chứa tất cả các chức năng của KeePass, ngoại trừ việc nó lưu tất cả mật khẩu của bạn dưới dạng file văn bản và gửi chúng cho tin tặc bằng cách sử dụng các beacon Cobalt Strike.

Việc phân phối được xử lý bởi các trang web fake sử dụng những domain bị chiếm đoạt như sau:

• keeppaswrd.com
• keegass.com
• KeePass.me
• keespass.biz
• keebass.com
• KeePassx.com

Một số domain này vẫn đang hoạt động và phân phối các phiên bản KeePass fake. Để biết thêm thông tin, trang web KeePass hợp pháp là keepass.info. Các trang web fake có sẵn thông qua công cụ tìm kiếm Bing của Microsoft. WithSecure tuyên bố rằng các domain fake đang được phục vụ thông qua quảng cáo DuckDuckGo. Tuy nhiên, vì Microsoft và DuckDuckGo đã hình thành quan hệ đối tác về quảng cáo do Microsoft cung cấp, nên rất có khả năng chúng cũng được quảng cáo với Bing.

Toàn bộ chiến dịch đã bị phát hiện trong quá trình điều tra của WithSecure về sự cố ransomware tại một nhà cung cấp dịch vụ CNTT ở Châu Âu. Hóa ra trình quản lý mật khẩu fake không chỉ đánh cắp thông tin đăng nhập mà còn cài đặt ransomware trên máy chủ VMware ESXi của công ty. WithSecure lưu ý rằng đây là lần đầu tiên một trình quản lý mật khẩu nguồn mở được sử dụng đồng thời như một công cụ đánh cắp thông tin xác thực và trình tải phần mềm độc hại.

Hãy cẩn thận khi tải chương trình!

Bạn có thể sử dụng trình quản lý mật khẩu trên trình duyệt với các biện pháp phòng ngừa, nhưng sử dụng một chương trình chuyên dụng là giải pháp thay thế an toàn hơn nhiều. Tin tặc nhắm mục tiêu vào các trình quản lý mật khẩu chính xác vì lý do này - nó đặt rủi ro ở nơi bạn ít ngờ tới nhất, nghĩa là chúng có thể khiến bạn mất cảnh giác.

Bạn nên luôn tải xuống tất cả các chương trình, đặc biệt là những chương trình nhạy cảm như trình quản lý mật khẩu, từ trang web chính thức của họ hoặc cửa hàng ứng dụng dựa trên nền tảng của bạn. Tải xuống phần mềm và game từ các trang web hoặc torrent của bên thứ ba luôn có nguy cơ chương trình của bạn đi kèm với một phần mềm độc hại.

Để phòng ngừa thêm, bạn cũng nên tránh nhấp vào quảng cáo và liên kết được tài trợ khuyến khích bạn tải xuống chương trình. Ngay cả khi quảng cáo hiển thị URL hợp lệ của chương trình, tin tặc vẫn nhiều lần chứng minh rằng chúng có thể bỏ qua chính sách quảng cáo và hiển thị URL hợp lệ trong khi vẫn chuyển hướng bạn đến các trang web fake.