Rannsakendur frá Malwarebytes Labs hafa bent á kynningu á falsaða vefsíðu fyrir ókeypis lykilorðastjórann KeePass, sem dreifir spilliforritum, í gegnum Google auglýsinganetið. Sérkenni árásarinnar var notkun árásarmanna á „ķeepass.info“ léninu, sem við fyrstu sýn er óaðgreinanlegt í stafsetningu frá opinberu léni „keepass.info“ verkefnisins. Þegar leitað var að lykilorðinu „keepass“ á Google var auglýsingin fyrir falsa síðuna sett í fyrsta sæti, á undan hlekknum á opinberu síðuna.
Til að blekkja notendur var beitt löngu þekktri vefveiðatækni sem byggði á skráningu alþjóðlegra léna (IDN) sem innihalda samhljóða - stafi sem líkjast latneskum bókstöfum, en hafa aðra merkingu og hafa sinn eigin unicode kóða. Sérstaklega er lénið "ķeepass.info" í raun skráð sem "xn--eepass-vbb.info" í punycode nótunum og ef þú skoðar vel nafnið sem sýnt er á veffangastikunni geturðu séð punkt undir bókstafnum " ķ“, sem er skynjað af meirihlutanotendum eru eins og blettur á skjánum. Tálsýn um áreiðanleika opna vefsvæðisins var aukin með því að falsa síða var opnuð í gegnum HTTPS með réttu TLS vottorði sem fengin var fyrir alþjóðlegt lén.
Til að hindra misnotkun leyfa skráningaraðilar ekki skráningu IDN léna sem blanda saman stöfum úr mismunandi stafrófum. Til dæmis er ekki hægt að búa til dummy lén apple.com („xn--pple-43d.com“) með því að skipta út latneska „a“ (U+0061) fyrir kýrilíska „a“ (U+0430). Það er einnig lokað fyrir blöndun latneskra og Unicode stöfum í lén, en það er undantekning frá þessari takmörkun, sem er það sem árásarmenn nýta sér - blöndun við Unicode stöfum sem tilheyra hópi latneskra stafa sem tilheyra sama stafrófinu er leyfð í lén. Til dæmis er bókstafurinn „ķ“ sem notaður er í árásinni sem er til skoðunar hluti af lettneska stafrófinu og er ásættanlegt fyrir lén á lettnesku.
Til að komast framhjá síum Google auglýsinganetsins og til að sía út vélmenni sem geta greint spilliforrit, var millilagsvefsíða keepassstacking.site tilgreind sem aðaltengillinn í auglýsingablokkinni, sem vísar notendum sem uppfylla ákveðin skilyrði yfir á dummy lénið „ķeepass .upplýsingar“.
Hönnun dummy síðunnar var stílfærð til að líkjast opinberu KeePass vefsíðunni, en breytt í árásargjarnari niðurhali forrita (þekking og stíll opinberu vefsíðunnar var varðveitt). Niðurhalssíðan fyrir Windows pallinn bauð upp á msix uppsetningarforrit sem innihélt skaðlegan kóða sem fylgdi gildri stafrænni undirskrift. Ef niðurhalaða skráin var keyrð á kerfi notandans var FakeBat forskrift einnig ræst, sem hleður niður skaðlegum hlutum frá ytri netþjóni til að ráðast á kerfi notandans (til dæmis til að stöðva trúnaðargögn, tengjast botneti eða skipta um dulmálsveskisnúmer í klemmuspjaldið).
Heimild: opennet.ru