Chèchè nan Malwarebytes Labs te idantifye pwomosyon yon fo sit entènèt pou manadjè modpas gratis KeePass, ki distribye malveyan, atravè rezo piblisite Google. Yon patikilye nan atak la te itilize pa atakè yo nan domèn "ķeepass.info", ki nan premye gade se endistenabl nan òtograf ak domèn ofisyèl nan "keepass.info" pwojè a. Lè w ap chèche mo kle "keepass" sou Google, yo te plase reklam pou fo sit la an premye, anvan lyen ki mennen nan sit ofisyèl la.
Pou twonpe itilizatè yo, yo te itilize yon teknik èskrokri depi lontan li te ye, ki baze sou enskripsyon an nan domèn entènasyonalize (IDN) ki gen omoglif - karaktè ki sanble ak lèt Laten, men ki gen yon siyifikasyon diferan epi ki gen pwòp kòd unicode yo. An patikilye, domèn "ķeepass.info" aktyèlman anrejistre kòm "xn--eepass-vbb.info" nan notasyon punycode epi si ou gade ak anpil atansyon nan non ki montre nan ba adrès la, ou ka wè yon pwen anba lèt la " ķ”, ki se pèrsu pa itilizatè yo majorite yo se tankou yon ti tach sou ekran an. Te ilizyon nan otantisite a nan sit la louvri te ogmante pa lefèt ke sit la fo te louvri atravè HTTPS ak yon sètifika TLS kòrèk jwenn pou yon domèn entènasyonalize.
Pou bloke abi, rjistrèr yo pa pèmèt enskripsyon domèn IDN ki melanje karaktè ki soti nan diferan alfabè. Pa egzanp, yon domèn enbesil apple.com (“xn--pple-43d.com”) pa ka kreye lè w ranplase “a” Latin (U+0061) ak “a” sirilik (U+0430). Melanje karaktè Latin ak Unicode nan yon non domèn tou bloke, men gen yon eksepsyon nan restriksyon sa a, ki se sa ki atakè yo pwofite - melanje ak karaktè Unicode ki fè pati yon gwoup karaktè Latin ki fè pati menm alfabè a. domèn. Pou egzanp, lèt "ķ" yo itilize nan atak ki anba konsiderasyon an se yon pati nan alfabè Latvian epi li akseptab pou domèn nan lang Latvian.
Pou kontoune filtè rezo piblisite Google yo ak pou filtre bots ki ka detekte malveyan, yo te espesifye yon sit entèmedyè keepassstacking.site kòm lyen prensipal nan blòk piblisite a, ki redireksyon itilizatè ki satisfè sèten kritè nan domèn enbesil "ķeepass". .info”.
Konsepsyon sit enbesil la te stilize pou l sanble ak sit entènèt ofisyèl KeePass la, men li te chanje an plis agresif pouse telechajman pwogram yo (rekonesans ak style sit entènèt ofisyèl la te konsève). Paj telechaje pou platfòm Windows la ofri yon enstalatè msix ki gen kòd move ki te vini ak yon siyati dijital ki valab. Si fichye telechaje a te egzekite sou sistèm itilizatè a, yo te lanse yon script FakeBat anplis, telechaje konpozan move soti nan yon sèvè ekstèn pou atake sistèm itilizatè a (pa egzanp, pou entèsepte done konfidansyèl, konekte ak yon botne, oswa ranplase nimewo bous crypto nan clipboard la).
Sous: opennet.ru