Forscher von Malwarebytes Labs haben die Werbung für eine gefälschte Website für den kostenlosen Passwort-Manager KeePass, der Malware verbreitet, über das Google-Werbenetzwerk identifiziert. Eine Besonderheit des Angriffs war die Verwendung der Domain „ķeepass.info“ durch die Angreifer, die auf den ersten Blick in der Schreibweise nicht von der offiziellen Domain des Projekts „keepass.info“ zu unterscheiden ist. Bei der Suche nach dem Stichwort „keepass“ bei Google wurde die Werbung für die gefälschte Seite an erster Stelle platziert, vor dem Link zur offiziellen Seite.
Um Benutzer zu täuschen, wurde eine seit langem bekannte Phishing-Technik eingesetzt, die auf der Registrierung internationalisierter Domains (IDN) basiert, die Homoglyphen enthalten – Zeichen, die lateinischen Buchstaben ähneln, aber eine andere Bedeutung haben und über einen eigenen Unicode-Code verfügen. Insbesondere ist die Domain „ķeepass.info“ tatsächlich als „xn--eepass-vbb.info“ in der Punycode-Notation registriert und wenn Sie sich den in der Adressleiste angezeigten Namen genau ansehen, können Sie einen Punkt unter dem Buchstaben „“ erkennen. ķ“, das von den meisten Nutzern wie ein Fleck auf dem Bildschirm wahrgenommen wird. Die Illusion der Authentizität der geöffneten Website wurde durch die Tatsache verstärkt, dass die gefälschte Website über HTTPS mit einem korrekten TLS-Zertifikat für eine internationalisierte Domain geöffnet wurde.
Um Missbrauch zu verhindern, gestatten Registrare die Registrierung von IDN-Domains, die Zeichen aus verschiedenen Alphabeten mischen, nicht. Beispielsweise kann eine Dummy-Domain apple.com („xn--pple-43d.com“) nicht erstellt werden, indem das lateinische „a“ (U+0061) durch das kyrillische „a“ (U+0430) ersetzt wird. Das Mischen von lateinischen und Unicode-Zeichen in einem Domainnamen ist ebenfalls blockiert, es gibt jedoch eine Ausnahme von dieser Einschränkung, die Angreifer ausnutzen: Das Mischen mit Unicode-Zeichen, die zu einer Gruppe lateinischer Zeichen gehören, die zum gleichen Alphabet gehören, ist in erlaubt Domain. Beispielsweise ist der im vorliegenden Angriff verwendete Buchstabe „ķ“ Teil des lettischen Alphabets und für Domains in der lettischen Sprache akzeptabel.
Um die Filter des Google-Werbenetzwerks zu umgehen und Bots herauszufiltern, die Malware erkennen können, wurde als Hauptlink im Werbeblock eine Zwischenschicht-Site keepassstacking.site angegeben, die Nutzer, die bestimmte Kriterien erfüllen, auf die Dummy-Domain „ķeepass“ umleitet .die Info".
Das Design der Dummy-Site wurde stilisiert, um der offiziellen KeePass-Website zu ähneln, wurde jedoch geändert, um Programm-Downloads aggressiver voranzutreiben (die Wiedererkennung und der Stil der offiziellen Website wurden beibehalten). Auf der Download-Seite für die Windows-Plattform wurde ein msix-Installationsprogramm angeboten, das Schadcode mit einer gültigen digitalen Signatur enthielt. Wenn die heruntergeladene Datei auf dem System des Benutzers ausgeführt wurde, wurde zusätzlich ein FakeBat-Skript gestartet, das schädliche Komponenten von einem externen Server herunterlädt, um das System des Benutzers anzugreifen (z. B. um vertrauliche Daten abzufangen, eine Verbindung zu einem Botnetz herzustellen oder Krypto-Wallet-Nummern darin zu ersetzen der Zwischenablage).
Source: opennet.ru