Malwarebytes Labsin tutkijat ovat havainneet väärennetyn verkkosivuston mainostamisen ilmaiselle salasananhallintaohjelmalle KeePassille, joka jakelee haittaohjelmia Googlen mainosverkoston kautta. Hyökkäyksen erikoisuus oli se, että hyökkääjät käyttivät "ķeepass.info"-verkkotunnusta, joka on ensisilmäyksellä erottumaton "keepass.info"-projektin virallisesta verkkotunnuksesta. Kun haettiin Googlesta avainsanalla "keepass", väärennetyn sivuston mainos sijoittui ensimmäiselle sijalle ennen viralliselle sivustolle johtavaa linkkiä.
Käyttäjien huijaamiseen käytettiin pitkään tunnettua tietojenkalastelutekniikkaa, joka perustui kansainvälistyneiden verkkotunnusten (IDN) rekisteröintiin, jotka sisälsivät homoglyfejä - merkkejä, jotka näyttävät samanlaisilta latinalaisilta kirjaimin, mutta joilla on erilainen merkitys ja oma unicode-koodi. Erityisesti verkkotunnus "ķeepass.info" on itse asiassa rekisteröity nimellä "xn--eepass-vbb.info" punycode-merkinnällä ja jos katsot tarkasti osoiterivillä näkyvää nimeä, näet pisteen kirjaimen "" alla. ķ”, jonka suurin osa käyttäjistä kokee, ovat kuin pilkku näytöllä. Illuusiota avoimen sivuston aitoudesta lisäsi se, että väärennössivusto avattiin HTTPS:n kautta kansainväliselle verkkotunnukselle hankitulla oikealla TLS-varmenteella.
Väärinkäytön estämiseksi rekisterinpitäjät eivät salli sellaisten IDN-verkkotunnusten rekisteröintiä, joissa on sekoitettu eri aakkosten merkkejä. Esimerkiksi valeverkkotunnusta apple.com ("xn--pple-43d.com") ei voi luoda korvaamalla latinalainen "a" (U+0061) kyrillisellä "a":lla (U+0430). Latinalaisten ja Unicode-merkkien sekoittaminen verkkotunnuksen nimessä on myös estetty, mutta tähän rajoitukseen on olemassa poikkeus, jota hyökkääjät käyttävät hyväkseen - sekoittaminen samaan aakkostoon kuuluvien latinalaisten merkkien ryhmään kuuluvien Unicode-merkkien kanssa on sallittua verkkotunnus. Esimerkiksi tarkasteltavana olevassa hyökkäyksessä käytetty kirjain “ķ” on osa latvialaista aakkostoa ja se on hyväksyttävä latvian kielen verkkotunnuksissa.
Googlen mainosverkoston suodattimien ohittamiseksi ja haittaohjelmia havaitsevien robottien suodattamiseksi mainoslohkon päälinkiksi määritettiin välikerrossivusto keepassstacking.site, joka ohjaa tietyt kriteerit täyttävät käyttäjät valeverkkotunnukseen "ķeepass". .tiedot".
Nuken sivuston muotoilu tyyliteltiin muistuttamaan virallista KeePass-verkkosivustoa, mutta muutettiin aggressiivisemmin push-ohjelmien latauksiin (virallisen verkkosivuston tunnistaminen ja tyyli säilyivät). Windows-alustan lataussivulla oli msix-asennusohjelma, joka sisälsi haitallisen koodin, jonka mukana tuli kelvollinen digitaalinen allekirjoitus. Jos ladattu tiedosto suoritettiin käyttäjän järjestelmässä, lisäksi käynnistettiin FakeBat-skripti, joka lataa haitallisia komponentteja ulkoisesta palvelimesta hyökätäkseen käyttäjän järjestelmään (esimerkiksi siepatakseen luottamuksellisia tietoja, muodostaakseen yhteyden botnet-verkkoon tai korvatakseen salauslompakkonumeroita leikepöydälle).
Lähde: opennet.ru