Tha luchd-rannsachaidh bho Malwarebytes Labs air comharrachadh adhartachadh làrach-lìn meallta airson manaidsear facal-faire an-asgaidh KeePass, a bhios a’ sgaoileadh malware, tro lìonra sanasachd Google. B’ e rud sònraichte den ionnsaigh gun do chleachd luchd-ionnsaigh an raon “ķeepass.info”, a tha aig a ’chiad sealladh nach gabh aithneachadh ann an litreachadh bho raon oifigeil a’ phròiseict “keepass.info”. Nuair a bha thu a’ lorg am prìomh fhacal “keepass” air Google, chaidh an sanas airson an làrach meallta a chuir sa chiad àite, ron cheangal ris an làrach oifigeil.
Gus luchd-cleachdaidh a mhealladh, chaidh innleachd phishing a bha aithnichte o chionn fhada a chleachdadh, stèidhichte air clàradh raointean eadar-nàiseanta (IDN) anns a bheil homoglyphs - caractaran a tha coltach ri litrichean Laideann, ach aig a bheil brìgh eadar-dhealaichte agus aig a bheil an còd Unicode aca fhèin. Gu sònraichte, tha an àrainn “ķeepass.info” clàraichte gu dearbh mar “xn--eepass-vbb.info” ann an comharradh punycode agus ma choimheadas tu gu dlùth air an ainm a chithear sa bhàr seòlaidh, chì thu dot fon litir “ ķ”, a tha a’ mhòr-chuid de luchd-cleachdaidh a’ faicinn mar spòg air an sgrion. Chaidh an mealladh mu fhìrinn na làraich fhosgailte a neartachadh leis gun deach an làrach meallta fhosgladh tro HTTPS le teisteanas TLS ceart air fhaighinn airson àrainn eadar-nàiseanta.
Gus casg a chuir air mì-ghnàthachadh, chan eil luchd-clàraidh a’ ceadachadh raointean IDN a chlàradh a bhios a’ measgachadh charactaran bho dhiofar aibideil. Mar eisimpleir, chan urrainnear àrainn meallta apple.com (“xn--pple-43d.com”) a chruthachadh le bhith a’ cur an Cyrillic “a” (U+0061) an àite an Laideann “a” (U+0430). Tha measgachadh de charactaran Laideann agus Unicode ann an ainm àrainn air a bhacadh cuideachd, ach tha eisgeachd don chuingealachadh seo, agus is e sin a bhios luchd-ionnsaigh a’ gabhail brath air - tha measgachadh le caractaran Unicode a bhuineas do bhuidheann de charactaran Laideann a bhuineas don aon aibideil ceadaichte anns an fearann. Mar eisimpleir, tha an litir “ķ” a chaidh a chleachdadh san ionnsaigh air a bheilear a’ beachdachadh mar phàirt den aibideil Laitvis agus tha i iomchaidh airson raointean anns a’ chànan Laitvis.
Gus faighinn seachad air sìoltachain lìonra sanasachd Google agus gus botaichean a shìoladh a lorgas malware, chaidh làrach eadar-mheadhanach keepassstacking.site a shònrachadh mar am prìomh cheangal sa bhloc sanasachd, a bhios ag ath-stiùireadh luchd-cleachdaidh a choinnicheas ri slatan-tomhais sònraichte chun àrainn meallta “ķeepass .info”.
Chaidh dealbhadh na làraich meallta a dhealbhadh gus a bhith coltach ri làrach-lìn oifigeil KeePass, ach chaidh atharrachadh gu bhith a’ putadh luchdachadh sìos phrògraman nas ionnsaigheach (chaidh aithne agus stoidhle na làraich-lìn oifigeil a ghleidheadh). Thairg an duilleag luchdaich sìos airson àrd-ùrlar Windows stàlaichear msix anns an robh còd droch-rùnach a thàinig le ainm-sgrìobhte didseatach dligheach. Ma chaidh am faidhle a chaidh a luchdachadh sìos a chuir gu bàs air siostam an neach-cleachdaidh, chaidh sgriobt FakeBat a chuir air bhog a bharrachd, a’ luchdachadh sìos phàirtean droch-rùnach bho fhrithealaiche a-muigh gus ionnsaigh a thoirt air siostam an neach-cleachdaidh (mar eisimpleir, gus dàta dìomhair a ghlacadh, ceangal ri botnet, no àireamhan wallet crypto a chuir an àite. an clàr-bùird).
Source: fosgailtenet.ru