Giila sa mga tigdukiduki gikan sa Malwarebytes Labs ang promosyon sa usa ka peke nga website alang sa libre nga tagdumala sa password nga KeePass, nga nag-apod-apod sa malware, pinaagi sa network sa advertising sa Google. Ang usa ka talagsaon nga pag-atake mao ang paggamit sa mga tig-atake sa "ķeepass.info" nga domain, nga sa unang pagtan-aw dili mailhan sa spelling gikan sa opisyal nga domain sa "keepass.info" nga proyekto. Kung nangita alang sa keyword nga "keepass" sa Google, ang ad alang sa peke nga site gibutang sa una nga lugar, sa wala pa ang link sa opisyal nga site.
Aron paglingla sa mga tiggamit, usa ka dugay na nga nahibal-an nga teknik sa phishing ang gigamit, base sa pagrehistro sa mga internationalized domain (IDN) nga adunay mga homoglyph - mga karakter nga susama sa Latin nga mga letra, apan adunay lahi nga kahulugan ug adunay kaugalingon nga unicode code. Sa partikular, ang domain nga "ķeepass.info" aktuwal nga narehistro nga "xn--eepass-vbb.info" sa punycode notation ug kung imong tan-awon pag-ayo ang ngalan nga gipakita sa address bar, makita nimo ang usa ka tulbok sa ilawom sa letra nga " ķ", nga nahibal-an sa kadaghanan nga tiggamit sama sa usa ka speck sa screen. Ang ilusyon sa pagkatinuod sa bukas nga site gipadako sa kamatuoran nga ang peke nga site giablihan pinaagi sa HTTPS nga adunay husto nga TLS nga sertipiko nga nakuha alang sa usa ka internasyonal nga domain.
Aron babagan ang pag-abuso, ang mga tigrehistro dili motugot sa pagrehistro sa mga domain sa IDN nga nagsagol sa mga karakter gikan sa lainlaing mga alpabeto. Pananglitan, ang dummy domain apple.com (“xn--pple-43d.com”) dili mahimo pinaagi sa pag-ilis sa Latin nga “a” (U+0061) sa Cyrillic “a” (U+0430). Ang pagsagol sa Latin ug Unicode nga mga karakter sa usa ka domain name gibabagan usab, apan adunay usa ka eksepsiyon sa kini nga pagdili, nga mao ang gipahimuslan sa mga tig-atake - ang pagsagol sa mga karakter sa Unicode nga nahisakop sa usa ka grupo sa mga karakter nga Latin nga nahisakop sa parehas nga alpabeto gitugotan sa domain. Pananglitan, ang letrang “ķ” nga gigamit sa pag-atake nga gikonsiderar maoy bahin sa Latvian nga alpabeto ug madawat alang sa mga domain sa Latvian nga pinulongan.
Aron malaktawan ang mga filter sa network sa advertising sa Google ug aron ma-filter ang mga bot nga makamatikod sa malware, usa ka intermediate interlayer nga site nga keepassstacking.site ang gipiho nga panguna nga link sa block sa advertising, nga nag-redirect sa mga tiggamit nga nakab-ot ang piho nga pamatasan sa dummy domain nga "ķeepass .info”.
Ang disenyo sa dummy site gi-istilo aron mahisama sa opisyal nga website sa KeePass, apan nausab ngadto sa mas agresibo nga pagduso sa mga pag-download sa programa (ang pag-ila ug estilo sa opisyal nga website gipreserbar). Ang panid sa pag-download alang sa plataporma sa Windows nagtanyag usa ka installer sa msix nga adunay sulud nga malisyoso nga code nga adunay usa ka balido nga pirma sa digital. Kung ang na-download nga file gipatuman sa sistema sa tiggamit, usa ka FakeBat script ang dugang nga gilunsad, nag-download sa mga makadaot nga sangkap gikan sa usa ka eksternal nga server aron atakehon ang sistema sa tiggamit (pananglitan, aron ma-intercept ang kompidensyal nga datos, magkonektar sa usa ka botnet, o ilisan ang mga numero sa crypto wallet sa ang clipboard).
Source: opennet.ru