I ricercatori di Malwarebytes Labs hanno identificato la promozione di un sito web falso per il gestore di password gratuito KeePass, che distribuisce malware, attraverso la rete pubblicitaria di Google. Una particolarità dell'attacco è stato l'utilizzo da parte degli aggressori del dominio “ķeepass.info”, che a prima vista nella grafia non si distingue dal dominio ufficiale del progetto “keepass.info”. Cercando su Google la parola chiave “keepass”, l'annuncio del sito fasullo veniva inserito al primo posto, prima del link al sito ufficiale.
Per ingannare gli utenti è stata utilizzata una tecnica di phishing nota da tempo, basata sulla registrazione di domini internazionalizzati (IDN) contenenti omoglifi, caratteri che sembrano simili alle lettere latine, ma hanno un significato diverso e hanno un proprio codice Unicode. In particolare, il dominio “ķeepass.info” è in realtà registrato come “xn--eepass-vbb.info” in notazione punycode e se osservate attentamente il nome riportato nella barra degli indirizzi, potete notare un puntino sotto la lettera “ ķ”, che la maggior parte degli utenti percepisce come un puntino sullo schermo. L'illusione dell'autenticità del sito aperto è stata rafforzata dal fatto che il sito falso è stato aperto tramite HTTPS con un certificato TLS corretto ottenuto per un dominio internazionalizzato.
Per bloccare gli abusi, i registrar non consentono la registrazione di domini IDN che mescolano caratteri di alfabeti diversi. Ad esempio, non è possibile creare un dominio fittizio apple.com (“xn--pple-43d.com”) sostituendo la “a” latina (U+0061) con la “a” cirillica (U+0430). Anche la mescolanza di caratteri latini e Unicode in un nome di dominio è bloccata, ma esiste un'eccezione a questa restrizione, di cui approfittano gli aggressori: è consentita la mescolanza con caratteri Unicode appartenenti a un gruppo di caratteri latini appartenenti allo stesso alfabeto dominio. Ad esempio, la lettera “ķ” utilizzata nell’attacco in questione fa parte dell’alfabeto lettone ed è accettabile per i domini in lingua lettone.
Per aggirare i filtri della rete pubblicitaria di Google e filtrare i bot in grado di rilevare malware, come collegamento principale nel blocco pubblicitario è stato indicato un sito intermedio intermedio keepassstacking.site, che reindirizza gli utenti che soddisfano determinati criteri al dominio fittizio “ķeepass .informazioni".
Il design del sito fittizio è stato stilizzato per assomigliare al sito Web ufficiale di KeePass, ma è stato modificato per spingere in modo più aggressivo i download dei programmi (il riconoscimento e lo stile del sito Web ufficiale sono stati preservati). La pagina di download per la piattaforma Windows offriva un programma di installazione msix contenente codice dannoso fornito con una firma digitale valida. Se il file scaricato veniva eseguito sul sistema dell'utente, veniva inoltre lanciato uno script FakeBat che scaricava componenti dannosi da un server esterno per attaccare il sistema dell'utente (ad esempio, per intercettare dati riservati, connettersi a una botnet o sostituire i numeri dei portafogli crittografici in gli appunti).
Fonte: opennet.ru