Ερευνητές από τα Malwarebytes Labs εντόπισαν την προώθηση μιας ψεύτικης ιστοσελίδας για τον δωρεάν διαχειριστή κωδικών πρόσβασης KeePass, ο οποίος διανέμει κακόβουλο λογισμικό, μέσω του διαφημιστικού δικτύου Google. Μια ιδιαιτερότητα της επίθεσης ήταν η χρήση από τους επιτιθέμενους του τομέα «ķeepass.info», ο οποίος εκ πρώτης όψεως δεν διακρίνεται στην ορθογραφία από τον επίσημο τομέα του έργου «keepass.info». Κατά την αναζήτηση της λέξης-κλειδιού "keepass" στο Google, η διαφήμιση για τον ψεύτικο ιστότοπο τοποθετήθηκε στην πρώτη θέση, πριν από τον σύνδεσμο προς τον επίσημο ιστότοπο.
Για να παραπλανηθούν οι χρήστες, χρησιμοποιήθηκε μια πασίγνωστη τεχνική phishing, βασισμένη στην καταχώρηση διεθνοποιημένων τομέων (IDN) που περιέχουν ομόγλυφα - χαρακτήρες που μοιάζουν με λατινικά γράμματα, αλλά έχουν διαφορετική σημασία και έχουν δικό τους κωδικό unicode. Συγκεκριμένα, ο τομέας "ķeepass.info" είναι στην πραγματικότητα καταχωρισμένος ως "xn--eepass-vbb.info" σε συμβολισμό punycode και αν κοιτάξετε προσεκτικά το όνομα που εμφανίζεται στη γραμμή διευθύνσεων, μπορείτε να δείτε μια κουκκίδα κάτω από το γράμμα " ķ”, το οποίο γίνεται αντιληπτό από την πλειοψηφία των χρηστών είναι σαν μια κηλίδα στην οθόνη. Η ψευδαίσθηση της αυθεντικότητας του ανοιχτού ιστότοπου ενισχύθηκε από το γεγονός ότι ο πλαστός ιστότοπος άνοιξε μέσω HTTPS με ένα σωστό πιστοποιητικό TLS που ελήφθη για έναν διεθνοποιημένο τομέα.
Για τον αποκλεισμό της κατάχρησης, οι καταχωρητές δεν επιτρέπουν την καταχώρηση τομέων IDN που συνδυάζουν χαρακτήρες από διαφορετικά αλφάβητα. Για παράδειγμα, ένας εικονικός τομέας apple.com ("xn--pple-43d.com") δεν μπορεί να δημιουργηθεί αντικαθιστώντας το λατινικό "a" (U+0061) με το κυριλλικό "a" (U+0430). Η ανάμειξη λατινικών και Unicode χαρακτήρων σε ένα όνομα τομέα είναι επίσης αποκλεισμένη, αλλά υπάρχει μια εξαίρεση σε αυτόν τον περιορισμό, την οποία εκμεταλλεύονται οι εισβολείς - επιτρέπεται η ανάμειξη με χαρακτήρες Unicode που ανήκουν σε μια ομάδα λατινικών χαρακτήρων που ανήκουν στο ίδιο αλφάβητο τομέα. Για παράδειγμα, το γράμμα "ķ" που χρησιμοποιείται στην υπό εξέταση επίθεση είναι μέρος του λετονικού αλφαβήτου και είναι αποδεκτό για τομείς στη λετονική γλώσσα.
Για να παρακάμψετε τα φίλτρα του διαφημιστικού δικτύου της Google και να φιλτράρετε τα ρομπότ που μπορούν να ανιχνεύσουν κακόβουλο λογισμικό, ορίστηκε ένας ενδιάμεσος ιστότοπος με ενδιάμεσο επίπεδο keepassstacking.site ως ο κύριος σύνδεσμος στο διαφημιστικό μπλοκ, ο οποίος ανακατευθύνει τους χρήστες που πληρούν ορισμένα κριτήρια στον εικονικό τομέα "ķeepass .info”.
Ο σχεδιασμός του εικονικού ιστότοπου σχεδιάστηκε για να μοιάζει με τον επίσημο ιστότοπο του KeePass, αλλά άλλαξε σε πιο επιθετικές λήψεις προγραμμάτων (η αναγνώριση και το στυλ του επίσημου ιστότοπου διατηρήθηκαν). Η σελίδα λήψης για την πλατφόρμα των Windows προσέφερε ένα πρόγραμμα εγκατάστασης msix που περιείχε κακόβουλο κώδικα που συνοδεύεται από έγκυρη ψηφιακή υπογραφή. Εάν το ληφθέν αρχείο εκτελέστηκε στο σύστημα του χρήστη, εκκινήθηκε επιπλέον ένα σενάριο FakeBat, το οποίο κατέβαζε κακόβουλα στοιχεία από έναν εξωτερικό διακομιστή για επίθεση στο σύστημα του χρήστη (για παράδειγμα, για υποκλοπή εμπιστευτικών δεδομένων, σύνδεση σε botnet ή αντικατάσταση αριθμών κρυπτογραφικού πορτοφολιού σε το πρόχειρο).
Πηγή: opennet.ru