اكتشف باحثون من Malwarebytes Labs الترويج لموقع ويب مزيف لمدير كلمات المرور المجاني KeePass، الذي يوزع البرامج الضارة، من خلال شبكة Google الإعلانية. ومن خصوصيات الهجوم استخدام المهاجمين للنطاق "ķeepass.info"، والذي للوهلة الأولى لا يمكن تمييزه في التهجئة عن المجال الرسمي لمشروع "keepass.info". وعند البحث عن كلمة “keepass” في جوجل، تم وضع الإعلان الخاص بالموقع المزيف في المقام الأول، قبل رابط الموقع الرسمي.
لخداع المستخدمين، تم استخدام تقنية تصيد معروفة منذ فترة طويلة، تعتمد على تسجيل النطاقات الدولية (IDN) التي تحتوي على الحروف المتجانسة - وهي أحرف تشبه الحروف اللاتينية، ولكن لها معنى مختلف ولها كود موحد خاص بها. على وجه الخصوص، تم تسجيل النطاق "ķeepass.info" فعليًا باسم "xn--eepass-vbb.info" في تدوين Punycode وإذا نظرت عن كثب إلى الاسم الموضح في شريط العناوين، يمكنك رؤية نقطة أسفل الحرف " ķ"، والذي يعتبره أغلبية المستخدمين بمثابة بقعة صغيرة على الشاشة. تم تعزيز وهم صحة الموقع المفتوح من خلال حقيقة أن الموقع المزيف تم فتحه عبر HTTPS بشهادة TLS صحيحة تم الحصول عليها لنطاق دولي.
لمنع إساءة الاستخدام، لا يسمح المسجلون بتسجيل نطاقات IDN التي تمزج الأحرف من أبجديات مختلفة. على سبيل المثال، لا يمكن إنشاء نطاق وهمي apple.com ("xn--pple-43d.com") عن طريق استبدال الحرف اللاتيني "a" (U+0061) بالحرف السيريلي "a" (U+0430). يُحظر أيضًا خلط الأحرف اللاتينية وأحرف Unicode في اسم النطاق، ولكن هناك استثناء لهذا القيد، وهو ما يستغله المهاجمون - حيث يُسمح بالخلط مع أحرف Unicode التي تنتمي إلى مجموعة من الأحرف اللاتينية التي تنتمي إلى نفس الأبجدية في اِختِصاص. على سبيل المثال، يعد الحرف "ķ" المستخدم في الهجوم قيد النظر جزءًا من الأبجدية اللاتفية وهو مقبول للنطاقات باللغة اللاتفية.
لتجاوز عوامل تصفية شبكة إعلانات Google وتصفية الروبوتات التي يمكنها اكتشاف البرامج الضارة، تم تحديد موقع وسيط بين الطبقات keepassstacking.site باعتباره الرابط الرئيسي في كتلة الإعلانات، والذي يعيد توجيه المستخدمين الذين يستوفون معايير معينة إلى النطاق الوهمي "ķeepass .معلومات".
تم تصميم تصميم الموقع الوهمي ليشبه موقع KeePass الرسمي، ولكن تم تغييره إلى تنزيلات برامج الدفع بشكل أكثر قوة (تم الحفاظ على التعرف على الموقع الرسمي وأسلوبه). عرضت صفحة التنزيل الخاصة بنظام التشغيل Windows مثبت msix الذي يحتوي على تعليمات برمجية ضارة تأتي مع توقيع رقمي صالح. إذا تم تنفيذ الملف الذي تم تنزيله على نظام المستخدم، فسيتم أيضًا تشغيل البرنامج النصي FakeBat، لتنزيل مكونات ضارة من خادم خارجي لمهاجمة نظام المستخدم (على سبيل المثال، لاعتراض البيانات السرية، أو الاتصال بشبكة الروبوتات، أو استبدال أرقام محفظة التشفير في الحافظة).
المصدر: opennet.ru