Forskere fra Malwarebytes Labs har identificeret promoveringen af en falsk hjemmeside for den gratis adgangskodemanager KeePass, som distribuerer malware, gennem Googles reklamenetværk. En ejendommelighed ved angrebet var angribernes brug af "ķeepass.info"-domænet, som ved første øjekast ikke kan skelnes i stavemåde fra det officielle domæne for "keepass.info"-projektet. Når du søgte efter søgeordet "keepass" på Google, blev annoncen for det falske websted placeret på førstepladsen, før linket til det officielle websted.
For at bedrage brugere blev der brugt en længe kendt phishing-teknik, baseret på registrering af internationaliserede domæner (IDN) indeholdende homoglyffer - tegn, der ligner latinske bogstaver, men har en anden betydning og har deres egen unicode-kode. Især domænet "ķeepass.info" er faktisk registreret som "xn--eepass-vbb.info" i punycode notation, og hvis du ser nøje på navnet vist i adresselinjen, kan du se en prik under bogstavet " ķ”, som af de fleste brugere opfattes som en plet på skærmen. Illusionen om ægtheden af det åbne websted blev forstærket af, at det falske websted blev åbnet via HTTPS med et korrekt TLS-certifikat opnået for et internationaliseret domæne.
For at blokere misbrug tillader registratorer ikke registrering af IDN-domæner, der blander tegn fra forskellige alfabeter. For eksempel kan et dummy-domæne apple.com ("xn--pple-43d.com") ikke oprettes ved at erstatte det latinske "a" (U+0061) med det kyrilliske "a" (U+0430). Blanding af latinske og Unicode-tegn i et domænenavn er også blokeret, men der er en undtagelse fra denne begrænsning, hvilket er, hvad angribere drager fordel af - blanding med Unicode-tegn, der tilhører en gruppe latinske tegn, der tilhører det samme alfabet, er tilladt i domæne. For eksempel er bogstavet "ķ" brugt i det pågældende angreb en del af det lettiske alfabet og er acceptabelt for domæner på det lettiske sprog.
For at omgå filtrene i Googles reklamenetværk og for at bortfiltrere bots, der kan detektere malware, blev et mellemliggende interlayer-websted keepassstacking.site specificeret som hovedlinket i reklameblokken, som omdirigerer brugere, der opfylder visse kriterier, til dummy-domænet "ķeepass .info”.
Designet af dummy-webstedet blev stiliseret til at ligne det officielle KeePass-websted, men ændret til mere aggressivt push-programdownloads (genkendelsen og stilen på den officielle hjemmeside blev bevaret). Downloadsiden til Windows-platformen tilbød et msix-installationsprogram indeholdende ondsindet kode, der fulgte med en gyldig digital signatur. Hvis den downloadede fil blev udført på brugerens system, blev der desuden startet et FakeBat-script, der downloadede ondsindede komponenter fra en ekstern server for at angribe brugerens system (f.eks. for at opsnappe fortrolige data, oprette forbindelse til et botnet eller erstatte kryptopungnumre i udklipsholderen).
Kilde: opennet.ru