Malwarebytes Labs-eko ikertzaileek Google publizitate sarearen bidez malwarea banatzen duen KeePass pasahitz kudeatzaile doako webgune faltsu baten sustapena identifikatu dute. Erasoaren berezitasun bat erasotzaileek “ķeepass.info” domeinua erabiltzea izan zen, lehen begiratuan “keepass.info” proiektuaren domeinu ofizialetik ortografiaz bereizten ez dena. Google-n "keepass" gako-hitza bilatzean, gune faltsuaren iragarkia lehen postuan jarri zen, gune ofizialerako estekaren aurretik.
Erabiltzaileak engainatzeko, aspalditik ezagutzen den phishing-teknika bat erabili zen, homoglifoak dituzten nazioarteko domeinuen (IDN) erregistroan oinarritzen dena -letra latindarren antzeko karaktereak, baina esanahi ezberdina dutenak eta beren unicode kodea dutenak-. Bereziki, "ķeepass.info" domeinua "xn--eepass-vbb.info" gisa erregistratuta dago punycode idazkeran eta helbide-barran agertzen den izena ondo begiratuz gero, puntu bat ikus dezakezu " letraren azpian " ķ", erabiltzaile gehienek hautematen dutena pantailako puntu bat bezalakoa da. Gune irekiaren benetakotasunaren ilusioa areagotu egin zen gune faltsua HTTPS bidez ireki zelako nazioarteko domeinu baterako lortutako TLS ziurtagiri zuzen batekin.
Tratu txarrak blokeatzeko, erregistratzaileek ez dute onartzen alfabeto ezberdinetako karaktereak nahasten dituzten IDN domeinuen erregistroa. Adibidez, apple.com domeinu finko bat ("xn--pple-43d.com") ezin da sortu latineko "a" (U+0061) "a" zirilikoarekin (U+0430) ordezkatuz. Domeinu-izen batean latinak eta Unicode karaktereak nahastea ere blokeatuta dago, baina murrizketa horretan salbuespen bat dago, eta hori da erasotzaileek aprobetxatzen dutena - alfabeto bereko karaktere latindar talde batekoak diren Unicode karaktereekin nahastea onartzen da. domeinua. Adibidez, kontuan hartutako erasoan erabilitako “ķ” letra letonierako alfabetoaren parte da eta letonierako domeinuetarako onargarria da.
Google-ren iragarki-sarearen iragazkiak saihesteko eta malwarea hauteman dezaketen bot-ak iragazteko, tarteko geruzen arteko gune bat zehaztu zen publizitate-blokearen esteka nagusi gisa keepassstacking.site, zeinak irizpide batzuk betetzen dituzten erabiltzaileak "ķeepass" domeinu faltsura birbideratzen dituena. .info”.
Gune faltsuaren diseinua KeePass webgune ofizialaren antza izateko estilizatu zen, baina programen deskargak bultzatzeko modu oldarkorragoetara aldatu zen (webgune ofizialaren aitortza eta estiloa gorde ziren). Windows plataformarako deskarga-orriak msix instalatzaile bat eskaintzen zuen, baliozko sinadura digital batekin zetorren kode gaiztoa zuena. Deskargatutako fitxategia erabiltzailearen sisteman exekutatu bazen, FakeBat script bat ere abiarazi zen, kanpoko zerbitzari batetik osagai gaiztoak deskargatuz erabiltzailearen sistema erasotzeko (adibidez, isilpeko datuak atzemateko, botnet batera konektatzeko edo kriptografia-zorroaren zenbakiak ordezkatzeko). arbela).
Iturria: opennet.ru