Ndị nyocha sitere na Malwarebytes Labs achọpụtala nkwalite webụsaịtị adịgboroja maka onye njikwa paswọọdụ efu KeePass, nke na-ekesa malware, site na netwọk mgbasa ozi Google. Ihe dị iche iche nke mwakpo ahụ bụ ojiji nke ndị na-awakpo ngalaba "ķeepass.info", nke na nleba anya mbụ na-enweghị isi na mkpope si na ngalaba gọọmentị nke ọrụ "keepass.info". Mgbe ị na-achọ isiokwu "keepass" na Google, a na-etinye mgbasa ozi maka saịtị adịgboroja na mbụ, tupu njikọ na saịtị gọọmentị.
Iji ghọgbuo ndị ọrụ, e jiri usoro phishing a ma ama, dabere na ndebanye aha nke mba ụwa nke ọma (IDN) nwere homoglyphs—akara ndị dị ka mkpụrụedemede Latin mana ha nwere ihe dị iche na koodu Unicode nke ha. N'ụzọ pụrụ iche, a na-edebanye aha ngalaba "ķeepass.info" dị ka "xn-eepass-vbb.info" na akara punycode. Ọ bụrụ na ị leba anya nke ọma na aha egosiri na ogwe adreesị, ị ga-ahụ ntụpọ n'okpuru mkpụrụedemede "ķ," nke ọtụtụ ndị ọrụ na-ahụ dị ka obere uzuzu na ihuenyo ahụ. Echiche nke eziokwu ahụ sikwuo ike site n'eziokwu ahụ bụ na e si na HTTPS nweta saịtị adịgboroja ahụ site na asambodo TLS dị irè nke enwetara maka ngalaba mba ụwa.
Iji gbochie mmejọ, ndị na-edeba aha anaghị ekwe ka ndebanye aha ngalaba IDN na-agwakọta mkpụrụedemede sitere na mkpụrụedemede dị iche iche. Dịka ọmụmaatụ, enweghị ike ịmepụta ngalaba dummy apple.com ("xn--pple-43d.com") site na iji Cyrillic "a" (U+0061) dochie Latin "a" (U+0430). A na-egbochikwa ịgwakọta mkpụrụedemede Latin na Unicode na ngalaba, mana enwere ihe dị iche na mmachi a, nke bụ ihe ndị na-awakpo na-erite uru - ịgwakọta mkpụrụedemede Unicode nke otu mkpụrụedemede Latịn nwere otu mkpụrụedemede ka anabatara na ngalaba. Dịka ọmụmaatụ, mkpụrụedemede “ķ” ejiri na ọgụ a na-atụle bụ akụkụ nke mkpụrụedemede Latvia ma bụrụ nke a na-anabata maka ngalaba n'asụsụ Latvia.
Iji zere nzacha nke netwọk mgbasa ozi Google na iji nyochaa bots ndị nwere ike ịchọpụta malware, ebe etiti interlayer saịtị keepassstacking.site ka akọwapụtara dị ka njikọ bụ isi na ngọngọ mgbasa ozi, nke na-emegharị ndị ọrụ na-agbaso ụfọdụ njirisi gaa na ngalaba dummy "ķeepass .ozi".
Оформление подставного сайта было стилизовано под официальный сайт KeePass, но изменено для более агрессивного навязывания загрузок программы (узнаваемость и стиль официального сайта были сохранены). На странице загрузки для платформы Windows предлагался msix-инсталлятор с вредоносным кодом, который поставлялся с корректной цифровой подписью. В случае выполнения загруженного файла на системе пользователя дополнительно запускался FakeBat-скрипт, загружающий с внешнего ihe nkesa Ihe ndị na-emerụ ahụ e mere iji wakpo sistemụ onye ọrụ (dịka ọmụmaatụ, iji gbochie data nzuzo, jikọọ na botnet, ma ọ bụ dochie nọmba obere akpa ego crypto na klọbọdụ).
isi: opennet.ru
