Mae ymchwilwyr o Malwarebytes Labs wedi nodi hyrwyddo gwefan ffug ar gyfer y rheolwr cyfrinair rhad ac am ddim KeePass, sy'n dosbarthu malware, trwy rwydwaith hysbysebu Google. Un o nodweddion hynod yr ymosodiad oedd defnydd yr ymosodwyr o’r parth “ķeepass.info”, sydd ar yr olwg gyntaf yn anwahanadwy o ran sillafu o barth swyddogol y prosiect “keepass.info”. Wrth chwilio am yr allweddair “keepass” ar Google, gosodwyd yr hysbyseb ar gyfer y wefan ffug yn y lle cyntaf, cyn y ddolen i'r wefan swyddogol.
Er mwyn twyllo defnyddwyr, defnyddiwyd techneg gwe-rwydo hir adnabyddus, yn seiliedig ar gofrestru parthau rhyngwladol (IDN) sy'n cynnwys homoglyffau - cymeriadau sy'n edrych yn debyg i lythrennau Lladin, ond sydd ag ystyr gwahanol ac sydd â'u cod unicode eu hunain. Yn benodol, mae'r parth “ķeepass.info” mewn gwirionedd wedi'i gofrestru fel “xn--eepass-vbb.info” mewn nodiant punycode ac os edrychwch yn ofalus ar yr enw a ddangosir yn y bar cyfeiriad, gallwch weld dot o dan y llythyren “ ķ”, sy'n cael ei weld gan y mwyafrif o ddefnyddwyr fel brycheuyn ar y sgrin. Ychwanegwyd at y rhith o ddilysrwydd y wefan agored gan y ffaith bod y wefan ffug wedi'i hagor trwy HTTPS gyda thystysgrif TLS gywir wedi'i sicrhau ar gyfer parth rhyngwladol.
I rwystro camddefnydd, nid yw cofrestryddion yn caniatáu cofrestru parthau IDN sy'n cymysgu nodau o wahanol wyddor. Er enghraifft, ni ellir creu parth ffug apple.com (“xn--pple-43d.com”) trwy ddisodli’r Lladin “a” (U+0061) gyda’r Cyrillic “a” (U+0430). Mae cymysgu nodau Lladin ac Unicode mewn enw parth hefyd yn cael ei rwystro, ond mae eithriad i'r cyfyngiad hwn, sef yr hyn y mae ymosodwyr yn manteisio arno - caniateir cymysgu â nodau Unicode sy'n perthyn i grŵp o nodau Lladin sy'n perthyn i'r un wyddor yn y parth. Er enghraifft, mae’r llythyren “ķ” a ddefnyddiwyd yn yr ymosodiad dan sylw yn rhan o’r wyddor Latfia ac yn dderbyniol ar gyfer parthau yn yr iaith Latfieg.
Er mwyn osgoi hidlwyr rhwydwaith hysbysebu Google ac i hidlo bots sy'n gallu canfod meddalwedd faleisus, pennwyd safle rhyng-haenog canolradd keepassstacking.site fel y prif ddolen yn y bloc hysbysebu, sy'n ailgyfeirio defnyddwyr sy'n bodloni meini prawf penodol i'r parth ffug “ķeepass .info”.
Roedd dyluniad y safle ffug wedi'i steilio i fod yn debyg i wefan swyddogol KeePass, ond fe'i newidiwyd i lawrlwythiadau rhaglenni mwy ymosodol (cadwyd adnabyddiaeth ac arddull y wefan swyddogol). Roedd y dudalen lawrlwytho ar gyfer platfform Windows yn cynnig gosodwr msix yn cynnwys cod maleisus a ddaeth gyda llofnod digidol dilys. Pe bai'r ffeil a lawrlwythwyd yn cael ei gweithredu ar system y defnyddiwr, lansiwyd sgript FakeBat hefyd, gan lawrlwytho cydrannau maleisus o weinydd allanol i ymosod ar system y defnyddiwr (er enghraifft, i ryng-gipio data cyfrinachol, cysylltu â botnet, neu ddisodli rhifau waled crypto yn y clipfwrdd).
Ffynhonnell: opennet.ru