Istraživači iz Malwarebytes Labs-a su identificirali promociju lažne web stranice za besplatni menadžer lozinki KeePass, koji distribuira zlonamjerni softver, putem Google reklamne mreže. Posebnost napada bila je upotreba od strane napadača domena “ķeepass.info”, koji se na prvi pogled ne razlikuje po pravopisu od zvaničnog domena projekta “keepass.info”. Prilikom traženja ključne riječi “keepass” na Google-u, reklama za lažni sajt je stavljena na prvo mjesto, prije linka na službenu stranicu.
Za obmanu korisnika korištena je odavno poznata phishing tehnika, zasnovana na registraciji internacionaliziranih domena (IDN) koji sadrže homoglife - znakove koji izgledaju slično latiničnim slovima, ali imaju drugačije značenje i imaju svoj unicode kod. Konkretno, domena “ķeepass.info” je zapravo registrovana kao “xn--eepass-vbb.info” u punycode notaciji i ako pažljivo pogledate ime prikazano u adresnoj traci, možete vidjeti tačku ispod slova “ ķ”, koje većina korisnika percipira kao mrlja na ekranu. Iluziju o autentičnosti otvorenog sajta pojačala je činjenica da je lažna stranica otvorena preko HTTPS-a sa ispravnim TLS sertifikatom dobijenim za internacionalizovanu domenu.
Da bi blokirali zloupotrebu, registratori ne dozvoljavaju registraciju IDN domena koji miješaju znakove iz različitih abeceda. Na primjer, lažni domen apple.com (“xn--pple-43d.com”) ne može se kreirati zamjenom latiničnog “a” (U+0061) ćiriličnim “a” (U+0430). Miješanje latiničnih i Unicode znakova u nazivu domene je također blokirano, ali postoji izuzetak od ovog ograničenja, što je ono što napadači koriste - miješanje sa Unicode znakovima koji pripadaju grupi latiničnih znakova koji pripadaju istoj abecedi je dozvoljeno u domena. Na primjer, slovo “ķ” korišteno u napadu koji se razmatra dio je latvijskog alfabeta i prihvatljivo je za domene na latvijskom jeziku.
Kako bi se zaobišli filteri Google reklamne mreže i filtrirali botovi koji mogu otkriti zlonamjerni softver, kao glavna veza u oglasnom bloku navedena je međuslojna stranica keepassstacking.site, koja korisnike koji ispunjavaju određene kriterije preusmjerava na lažni domen „ķeepass .info”.
Dizajn lažne stranice je stiliziran da liči na službenu KeePass web stranicu, ali je promijenjen u agresivnije preuzimanje programa (prepoznavanje i stil službene web stranice su sačuvani). Stranica za preuzimanje za Windows platformu nudila je msix instalacijski program koji sadrži zlonamjerni kod koji dolazi s važećim digitalnim potpisom. Ako je preuzeta datoteka izvršena na korisnikovom sistemu, dodatno je pokrenuta FakeBat skripta, koja preuzima zlonamjerne komponente sa eksternog servera za napad na sistem korisnika (na primjer, za presretanje povjerljivih podataka, povezivanje na botnet ili zamjenu brojeva kripto novčanika u međuspremnik).
izvor: opennet.ru