Peneliti saka Malwarebytes Labs wis ngenali promosi situs web palsu kanggo manajer sandi gratis KeePass, sing nyebarake malware, liwat jaringan iklan Google. Keanehan saka serangan kasebut yaiku panggunaan domain "ķeepass.info" dening panyerang, sing sepisanan ora bisa dibedakake ing ejaan saka domain resmi proyek "keepass.info". Nalika nggoleki tembung kunci "keepass" ing Google, iklan kanggo situs palsu diselehake ing posisi pisanan, sadurunge link menyang situs resmi.
Kanggo ngapusi pangguna, teknik phishing sing wis suwe digunakake, adhedhasar registrasi domain internasional (IDN) sing ngemot homoglyph - karakter sing katon padha karo huruf Latin, nanging duwe makna sing beda lan duwe kode unicode dhewe. Utamane, domain "ķeepass.info" bener-bener kadhaptar minangka "xn--eepass-vbb.info" ing notasi kode puny lan yen sampeyan ndeleng kanthi teliti jeneng sing ditampilake ing garis alamat, sampeyan bisa ndeleng titik ing ngisor huruf " ķ", sing dirasakake dening mayoritas pangguna kaya bintik ing layar. Ilusi keaslian situs sing mbukak ditambahake kanthi kasunyatan manawa situs palsu dibukak liwat HTTPS kanthi sertifikat TLS sing bener sing diduweni kanggo domain internasional.
Kanggo mblokir penyalahgunaan, registrar ora ngidini registrasi domain IDN sing nyampur karakter saka aksara sing beda. Contone, domain dummy apple.com ("xn--pple-43d.com") ora bisa digawe kanthi ngganti Latin "a" (U+0061) nganggo Cyrillic "a" (U+0430). Campuran karakter Latin lan Unicode ing jeneng domain uga diblokir, nanging ana pangecualian kanggo watesan iki, yaiku sing dimanfaatake panyerang - nyampur karo karakter Unicode sing kalebu klompok karakter Latin sing kagolong ing alfabet sing padha diidini ing domain. Contone, huruf "ķ" sing digunakake ing serangan sing dianggep minangka bagéan saka alfabet Latvia lan bisa ditampa kanggo domain ing basa Latvia.
Kanggo ngliwati saringan jaringan iklan Google lan nyaring bot sing bisa ndeteksi malware, situs interlayer intermediate keepassstacking.site ditemtokake minangka link utama ing blok iklan, sing ngarahake pangguna sing ketemu kriteria tartamtu menyang domain dummy "ķeepass .info”.
Desain situs goblok digaya kaya situs web resmi KeePass, nanging diganti dadi unduhan program sing luwih agresif (pangenalan lan gaya situs web resmi dilestarekake). Kaca undhuhan kanggo platform Windows nawakake installer msix sing ngemot kode jahat sing dilengkapi teken digital sing sah. Yen file sing diundhuh dieksekusi ing sistem pangguna, skrip FakeBat uga diluncurake, ndownload komponen jahat saka server eksternal kanggo nyerang sistem pangguna (contone, kanggo nyegat data rahasia, nyambung menyang botnet, utawa ngganti nomer dompet crypto ing papan klip).
Source: opennet.ru