Des chercheurs de Malwarebytes Labs ont identifié la promotion d'un faux site Web pour le gestionnaire de mots de passe gratuit KeePass, qui distribue des logiciels malveillants, via le réseau publicitaire de Google. Une particularité de l'attaque était l'utilisation par les attaquants du domaine « ķeepass.info », dont l'orthographe est à première vue impossible à distinguer du domaine officiel du projet « keepass.info ». Lors de la recherche du mot-clé « keepass » sur Google, la publicité du faux site a été placée en première place, avant le lien vers le site officiel.
Pour tromper les utilisateurs, une technique de phishing connue de longue date a été utilisée, basée sur l'enregistrement de domaines internationalisés (IDN) contenant des homoglyphes - des caractères qui ressemblent à des lettres latines, mais ont une signification différente et possèdent leur propre code Unicode. En particulier, le domaine « ķeepass.info » est en fait enregistré sous le nom « xn--eepass-vbb.info » en notation punycode et si vous regardez attentivement le nom affiché dans la barre d'adresse, vous pouvez voir un point sous la lettre « ķ », qui est perçu par la majorité des utilisateurs comme un point sur l'écran. L'illusion de l'authenticité du site ouvert a été renforcée par le fait que le faux site a été ouvert via HTTPS avec un certificat TLS correct obtenu pour un domaine internationalisé.
Pour bloquer les abus, les bureaux d'enregistrement n'autorisent pas l'enregistrement de domaines IDN mélangeant des caractères de différents alphabets. Par exemple, un domaine factice apple.com (« xn--pple-43d.com ») ne peut pas être créé en remplaçant le « a » latin (U+0061) par le « a » cyrillique (U+0430). Le mélange de caractères latins et Unicode dans un nom de domaine est également bloqué, mais il existe une exception à cette restriction, dont profitent les attaquants : le mélange avec des caractères Unicode appartenant à un groupe de caractères latins appartenant au même alphabet est autorisé dans le nom de domaine. domaine. Par exemple, la lettre « ķ » utilisée dans l’attaque en question fait partie de l’alphabet letton et est acceptable pour les domaines en langue lettone.
Pour contourner les filtres du réseau publicitaire de Google et filtrer les robots capables de détecter les logiciels malveillants, un site intercouche intermédiaire keepassstacking.site a été spécifié comme lien principal dans le bloc publicitaire, qui redirige les utilisateurs répondant à certains critères vers le domaine factice « ķeepass .Info".
La conception du site factice a été stylisée pour ressembler au site Web officiel de KeePass, mais a été modifiée pour pousser plus agressivement les téléchargements de programmes (la reconnaissance et le style du site officiel ont été préservés). La page de téléchargement de la plate-forme Windows proposait un programme d'installation msix contenant un code malveillant accompagné d'une signature numérique valide. Si le fichier téléchargé était exécuté sur le système de l'utilisateur, un script FakeBat était en outre lancé, téléchargeant des composants malveillants depuis un serveur externe pour attaquer le système de l'utilisateur (par exemple, pour intercepter des données confidentielles, se connecter à un botnet ou remplacer les numéros de portefeuille crypté dans le presse-papier).
Source: opennet.ru