Investigadors de Malwarebytes Labs han identificat la promoció d'un lloc web fals per al gestor de contrasenyes gratuït KeePass, que distribueix programari maliciós, a través de la xarxa de publicitat de Google. Una particularitat de l'atac va ser l'ús per part dels atacants del domini “ķeepass.info”, que a primera vista no es pot distingir en l'ortografia del domini oficial del projecte “keepass.info”. Quan es va cercar la paraula clau "keepass" a Google, l'anunci del lloc fals es va col·locar en primer lloc, abans de l'enllaç al lloc oficial.
Per enganyar els usuaris, es va utilitzar una tècnica de phishing coneguda des de fa temps, basada en el registre de dominis internacionalitzats (IDN) que contenen homoglifs, caràcters semblants a lletres llatines, però que tenen un significat diferent i tenen el seu propi codi unicode. En particular, el domini "ķeepass.info" està realment registrat com "xn--eepass-vbb.info" en notació punycode i si observeu bé el nom que es mostra a la barra d'adreces, podeu veure un punt sota la lletra " ķ”, que perceben la majoria d'usuaris són com un punt a la pantalla. La il·lusió de l'autenticitat del lloc obert es va veure reforçada pel fet que el lloc fals es va obrir mitjançant HTTPS amb un certificat TLS correcte obtingut per a un domini internacionalitzat.
Per bloquejar els abusos, els registradors no permeten el registre de dominis IDN que barregin caràcters de diferents alfabets. Per exemple, no es pot crear un domini simulat apple.com ("xn--pple-43d.com") substituint la "a" llatina (U+0061) per la "a" ciríl·lica (U+0430). La barreja de caràcters llatins i Unicode en un nom de domini també està bloquejada, però hi ha una excepció a aquesta restricció, que és la que aprofiten els atacants: es permet barrejar amb caràcters Unicode pertanyents a un grup de caràcters llatins que pertanyen al mateix alfabet. domini. Per exemple, la lletra "ķ" utilitzada en l'atac en qüestió forma part de l'alfabet letó i és acceptable per a dominis en llengua letó.
Per obviar els filtres de la xarxa de publicitat de Google i per filtrar els robots que poden detectar programari maliciós, es va especificar un lloc de capa intermèdia keepassstacking.site com a enllaç principal del bloc de publicitat, que redirigeix els usuaris que compleixen determinats criteris al domini fictici "ķeepass". .info”.
El disseny del lloc fictici es va estilitzar per assemblar-se al lloc web oficial de KeePass, però es va canviar per impulsar descàrregues de programes de manera més agressiva (es van conservar el reconeixement i l'estil del lloc web oficial). La pàgina de descàrrega de la plataforma Windows oferia un instal·lador msix que contenia codi maliciós que venia amb una signatura digital vàlida. Si el fitxer descarregat s'executava al sistema de l'usuari, també es va llançar un script FakeBat, que baixava components maliciosos d'un servidor extern per atacar el sistema de l'usuari (per exemple, per interceptar dades confidencials, connectar-se a una botnet o substituir números de cartera criptogràfica a el porta-retalls).
Font: opennet.ru