Изследователи от Malwarebytes Labs са идентифицирали популяризирането на фалшив уебсайт за безплатния мениджър на пароли KeePass, който разпространява зловреден софтуер, чрез рекламната мрежа на Google. Особеност на атаката е използването от нападателите на домейна “ķeepass.info”, който на пръв поглед е неразличим по правопис от официалния домейн на проекта “keepass.info”. При търсене на ключовата дума “keepass” в Google, рекламата на фалшивия сайт е поставена на първо място, преди връзката към официалния сайт.
За измама на потребителите е използвана отдавна известна фишинг техника, базирана на регистрацията на интернационализирани домейни (IDN), съдържащи хомоглифи - знаци, които приличат на латински букви, но имат различно значение и имат собствен уникод код. По-специално, домейнът „ķeepass.info“ всъщност е регистриран като „xn--eepass-vbb.info“ в punycode нотация и ако се вгледате внимателно в името, показано в адресната лента, можете да видите точка под буквата „ ķ”, които се възприемат от повечето потребители като петънце на екрана. Илюзията за автентичността на отворения сайт беше подсилена от факта, че фалшивият сайт беше отворен през HTTPS с правилен TLS сертификат, получен за интернационализиран домейн.
За да блокират злоупотреби, регистраторите не позволяват регистрацията на IDN домейни, които смесват знаци от различни азбуки. Например фиктивен домейн apple.com („xn--pple-43d.com“) не може да бъде създаден чрез замяна на латинския „a“ (U+0061) с кирилски „a“ (U+0430). Смесването на латински и Unicode знаци в име на домейн също е блокирано, но има изключение от това ограничение, от което се възползват нападателите - смесването с Unicode знаци, принадлежащи към група латински знаци, принадлежащи на една и съща азбука, е разрешено в домейн. Например буквата „ķ“, използвана при разглежданата атака, е част от латвийската азбука и е приемлива за домейни на латвийски език.
За да се заобиколят филтрите на рекламната мрежа на Google и да се филтрират ботове, които могат да открият злонамерен софтуер, като основна връзка в рекламния блок беше посочен междинен междинен сайт keepassstacking.site, който пренасочва потребителите, които отговарят на определени критерии, към фиктивния домейн „ķeepass .info”.
Дизайнът на фиктивния сайт беше стилизиран, за да наподобява официалния уебсайт на KeePass, но променен за по-агресивно натискане на изтегляния на програми (разпознаваемостта и стилът на официалния уебсайт бяха запазени). Страницата за изтегляне за платформата Windows предлагаше инсталатор на msix, съдържащ злонамерен код, който беше придружен от валиден цифров подпис. Ако изтегленият файл е бил изпълнен в системата на потребителя, допълнително е стартиран скрипт FakeBat, който изтегля злонамерени компоненти от външен сървър, за да атакува системата на потребителя (например за прихващане на поверителни данни, свързване с ботнет или замяна на номера на крипто портфейли в клипборда).
Източник: opennet.ru