ProHoster > وبلاگ > اخبار اینترنتی > توزیع بدافزار از طریق تبلیغات دامنه ای غیرقابل تشخیص از دامنه پروژه KeePass

توزیع بدافزار از طریق تبلیغات دامنه ای غیرقابل تشخیص از دامنه پروژه KeePass

محققان Malwarebytes Labs تبلیغ یک وب سایت جعلی را برای مدیر رمز عبور رایگان KeePass که بدافزار را از طریق شبکه تبلیغاتی گوگل توزیع می کند، شناسایی کرده اند. یکی از ویژگی های حمله استفاده مهاجمان از دامنه "ķeepass.info" بود که در نگاه اول از نظر املایی از دامنه رسمی پروژه "keepass.info" قابل تشخیص نیست. هنگام جستجوی کلمه کلیدی "keepass" در گوگل، تبلیغ سایت جعلی در وهله اول قبل از پیوند به سایت رسمی قرار داده شد.

توزیع بدافزار از طریق تبلیغات دامنه ای غیرقابل تشخیص از دامنه پروژه KeePass

برای فریب کاربران، از یک تکنیک فیشینگ شناخته شده برای مدت طولانی استفاده شد که بر اساس ثبت دامنه های بین المللی (IDN) حاوی هموگلیف ها - کاراکترهایی که شبیه حروف لاتین هستند، اما معنای متفاوتی دارند و کد یونیکد خاص خود را دارند، استفاده شد. به طور خاص، دامنه "ķeepass.info" در واقع به عنوان "xn--eepass-vbb.info" در نماد punycode ثبت شده است و اگر به نام نشان داده شده در نوار آدرس دقت کنید، می توانید یک نقطه زیر حرف "" ببینید. ķ، که توسط اکثر کاربران درک می شود مانند یک لکه روی صفحه است. توهم اصالت سایت باز با این واقعیت که سایت جعلی از طریق HTTPS با یک گواهی TLS صحیح که برای یک دامنه بین المللی به دست آمده بود باز شد، تقویت شد.

توزیع بدافزار از طریق تبلیغات دامنه ای غیرقابل تشخیص از دامنه پروژه KeePass

برای جلوگیری از سوء استفاده، ثبت‌کننده‌ها اجازه ثبت دامنه‌های IDN که کاراکترهای الفبای مختلف را ترکیب می‌کنند را نمی‌دهند. برای مثال، یک دامنه ساختگی apple.com ("xn--pple-43d.com") را نمی توان با جایگزین کردن "a" لاتین (U+0061) با سیریلیک "a" (U+0430) ایجاد کرد. اختلاط کاراکترهای لاتین و یونیکد در یک نام دامنه نیز مسدود شده است، اما یک استثنا برای این محدودیت وجود دارد، که مهاجمان از آن استفاده می‌کنند - اختلاط با کاراکترهای یونیکد متعلق به گروهی از نویسه‌های لاتین متعلق به همان الفبا مجاز است. دامنه. به عنوان مثال، حرف "ķ" استفاده شده در حمله مورد بررسی بخشی از الفبای لتونی است و برای دامنه های زبان لتونی قابل قبول است.

برای دور زدن فیلترهای شبکه تبلیغاتی گوگل و فیلتر کردن ربات‌هایی که می‌توانند بدافزار را شناسایی کنند، یک سایت میان‌لایه‌ای keepassstacking.site به عنوان لینک اصلی در بلوک تبلیغاتی مشخص شد که کاربرانی را که معیارهای خاصی را دارند به دامنه ساختگی «ķeepass» هدایت می‌کند. .info”.

طراحی سایت ساختگی شبیه به وب‌سایت رسمی KeePass طراحی شده بود، اما به دانلود برنامه‌های فشرده‌تر تغییر کرد (تشخیص و سبک وب‌سایت رسمی حفظ شد). صفحه دانلود برای پلتفرم ویندوز یک نصب کننده msix حاوی کدهای مخرب ارائه می دهد که دارای امضای دیجیتال معتبر است. اگر فایل دانلود شده بر روی سیستم کاربر اجرا می شد، یک اسکریپت FakeBat نیز راه اندازی می شد و اجزای مخرب را از یک سرور خارجی دانلود می کرد تا به سیستم کاربر حمله کند (به عنوان مثال، برای رهگیری داده های محرمانه، اتصال به بات نت، یا جایگزینی شماره های کیف پول رمزنگاری شده در کلیپ بورد).



منبع: opennet.ru

اضافه کردن نظر