Даследнікі з кампаніі Malwarebytes Labs выявілі прасоўванне праз рэкламную сетку Google падстаўнога сайта вольнага мэнэджара пароляў KeePass, які распаўсюджвае шкоднаснае ПА. Асаблівасцю атакі стала выкарыстанне зламыснікамі даменту "ķeepass.info", на першы погляд неадрознага па напісанні ад афіцыйнага дамена праекта "keepass.info". Пры пошуку па ключавым слове "keepass" у Google рэклама падстаўнога сайта размяшчалася на першым месцы, раней чым спасылка на афіцыйны сайт.
Для падману карыстачоў была ўжытая даўно вядомая тэхніка фішынгу, заснаваная на рэгістрацыі інтэрнацыяналізаваных даменаў (IDN), утрымоўвальных омогліфы - знакі, вонкава падобныя на лацінскія літары, але мелыя іншае значэнне і мелыя свой unicode-код. У прыватнасці, дамен «ķeepass.info» на справе зарэгістраваны як «xn--eepass-vbb.info» у punycode-натацыі і калі добра прыгледзецца да паказванага ў адрасным радку імя, можна заўважыць кропку пад літарай «ķ», якая ўспрымаецца большасцю карыстальнікаў як парушынка на экране. Ілюзію дакладнасці адкрытага сайта ўзмацняла тое, што падстаўны сайт адкрываўся праз HTTPS з карэктным TLS-сертыфікатам, атрыманым для інтэрнацыяналізаванага дамена.
Для блакавання злоўжыванняў рэгістратары не дазваляюць рэгістраваць IDN-дамены, у якіх змешваюцца знакі з розных алфавітаў. Напрыклад, падстаўны дамен аpple.com ("xn - pple-43d.com") не атрымаецца стварыць шляхам замены лацінскай "a" (U+0061) на кірылічную "а" (U+0430). Таксама блакуецца змешванне ў даменным імені лацінкі і Unicode-знакаў, але ў гэтым абмежаванні ёсць выключэнне, якім і карыстаюцца зламыснікі, – у дамене дазваляецца змешванне з Unicode-знакамі, якія адносяцца да групы лацінскіх знакаў, прыналежных да аднаго алфавіту. Напрыклад, выкарыстаная ў разгляданым нападзе літара «ķ» уваходзіць у латышскі алфавіт і дапушчальная для даменаў на латышскай мове.
Для абыходу фільтраў рэкламнай сеткі Google і для адсявання робатаў, здольных выявіць шкоднаснае ПЗ, у якасці асноўнай спасылкі ў рэкламным блоку быў паказаны прамежкавы сайт-праслойка keepasstacking.site, які выконвае перанакіраванне на падстаўны дамен «ķeepass.info» карыстальнікаў, якія задавальняюць пэўным крытам.
Афармленне падстаўнога сайта было стылізавана пад афіцыйны сайт KeePass, але зменена для больш агрэсіўнага навязвання загрузак праграмы (пазнавальнасць і стыль афіцыйнага сайта былі захаваны). На старонцы загрузкі для платформы Windows прапаноўваўся msix-усталёўнік са шкоднасным кодам, які пастаўляўся з карэктным лічбавым подпісам. У выпадку выканання загружанага файла на сістэме карыстальніка дадаткова запускаўся FakeBat-скрыпт, які загружае з вонкавага сервера шкоднасныя кампаненты для нападу на сістэму карыстача (напрыклад, для перахопу канфідэнцыйных дадзеных, падлучэнні да ботнета або замены нумароў криптокошельков у буферы абмену).
Крыніца: opennet.ru