Malwarebytes Labsi teadlased tuvastasid pahavara levitava tasuta paroolihalduri KeePassi võltsveebisaidi reklaamimise Google'i reklaamivõrgu kaudu. Rünnaku eripäraks oli “keepass.info” domeeni kasutamine ründajate poolt, mis esmapilgul on kirjapildis eristamatu projekti “keepass.info” ametlikust domeenist. Google'is märksõna "keepass" otsimisel asetati võltssaidi reklaam esimesele kohale, enne ametlikule saidile viivat linki.
Kasutajate petmiseks kasutati ammu tuntud andmepüügitehnikat, mis põhines rahvusvaheliste domeenide (IDN) registreerimisel, mis sisaldasid homoglüüfe – tähemärke, mis näevad välja sarnased ladina tähtedega, kuid millel on erinev tähendus ja millel on oma unicode kood. Täpsemalt, domeen “ķeepass.info” on tegelikult registreeritud kui “xn--eepass-vbb.info” punycode-tähistuses ja kui vaatate aadressiribal näidatud nime tähelepanelikult, näete tähe all olevat punkti ķ”, mida enamik kasutajaid tajub, on nagu täpp ekraanil. Avatud saidi autentsuse illusiooni suurendas asjaolu, et võlts sait avati HTTPS-i kaudu rahvusvaheliseks muutunud domeeni jaoks saadud korrektse TLS-sertifikaadiga.
Kuritarvitamise blokeerimiseks ei luba registripidajad registreerida IDN-domeene, mis segavad erinevatest tähestikku pärinevaid märke. Näiteks ei saa luua näivat domeeni apple.com (“xn--pple-43d.com”), kui asendada ladina “a” (U+0061) kirillitsaga “a” (U+0430). Ladina ja Unicode'i tähemärkide segamine domeeninimes on samuti blokeeritud, kuid sellel piirangul on erand, mida ründajad ära kasutavad – segamine Unicode'i tähemärkidega, mis kuuluvad samasse tähestikku kuuluvate ladina tähemärkide rühma, on lubatud domeeni. Näiteks vaadeldavas rünnakus kasutatav täht “ķ” on osa läti tähestikust ja on aktsepteeritav lätikeelsete domeenide jaoks.
Google'i reklaamivõrgu filtritest möödahiilimiseks ja pahavara tuvastada suutvate robotite välja filtreerimiseks määrati reklaamiploki peamiseks lingiks vahekihi sait keepassstacking.site, mis suunab teatud kriteeriumidele vastavad kasutajad ümber näivdomeenile “ķeepass .info”.
Mannekeeni saidi kujundus stiliseeriti nii, et see sarnaneks ametlikule KeePassi veebisaidile, kuid muudeti agressiivsemaks programmide allalaadimiseks (ametliku veebisaidi äratundmine ja stiil säilitati). Windowsi platvormi allalaadimisleht pakkus msix-installerit, mis sisaldas kehtiva digitaalallkirjaga pahatahtlikku koodi. Kui allalaaditud fail käivitati kasutaja süsteemis, käivitati lisaks FakeBati skript, mis laadib välisest serverist alla pahatahtlikud komponendid, et rünnata kasutaja süsteemi (näiteks konfidentsiaalsete andmete pealtkuulamiseks, botnetiga ühenduse loomiseks või krüptorahakoti numbrite asendamiseks lõikepuhvrisse).
Allikas: opennet.ru