Lekolînwanên Malwarebytes Labs danasîna malperek sexte ji bo rêvebirê şîfreya belaş KeePass, ku malware belav dike, bi navgîniya tora reklamê ya Google ve nas kirin. Taybetmendiyek êrîşê bikaranîna domana "ķeepass.info" ji hêla êrîşkeran ve bû, ku di nihêrîna pêşîn de di rastnivîsînê de ji qada fermî ya projeya "keepass.info" nayê cûda kirin. Dema ku li Google-ê li peyva sereke "keepass" digere, reklama malpera sexte di rêza yekem de, berî girêdana malpera fermî hate danîn.
Ji bo xapandina bikarhêneran, teknîkek phishing-ê ya dirêj-naskirî hate bikar anîn, li ser bingeha qeydkirina domên navneteweyî (IDN) ku homoglyphs hene - karakterên ku dişibin tîpên latînî, lê xwedî wateyek cûda ne û koda xweya unicode heye. Bi taybetî, domain "ķeepass.info" bi rastî wekî "xn--eepass-vbb.info" di navnîşana punycode de hatî tomar kirin û heke hûn ji nêz ve li navê ku di barika navnîşan de hatî xuyang kirin mêze bikin, hûn dikarin xalek di binê tîpa " de bibînin. ķ", ya ku ji hêla pir bikarhêneran ve tê fêm kirin mîna pişkek li ser ekranê ye. Xeyaliya rastiya malpera vekirî ji ber vê yekê ku malpera sexte bi sertîfîkayek TLS ya rast a ku ji bo domainek navneteweyî hatî wergirtin ve bi riya HTTPS ve hatî vekirin, zêde bû.
Ji bo astengkirina îstîsmarê, qeydker destûr nadin qeydkirina domên IDN yên ku tîpên ji alfabeyên cûda tevlihev dikin. Mînakî, domainek dummy apple.com ("xn--pple-43d.com") bi guheztina "a" ya latînî (U+0061) bi "a" ya kîrîlî (U+0430) nayê afirandin. Tevlihevkirina tîpên Latînî û Unicode di navek domainê de jî tê asteng kirin, lê îstîsnayek ji vê sînordarkirinê re heye, ya ku êrîşkar jê sûd werdigirin - tevlihevkirina bi tîpên Unicode yên girêdayî komek tîpên latînî yên ji heman alfabeyê re destûr tê dayîn. domain. Mînakî, tîpa "ķ" ya ku di êrîşa li ber çavan de tê bikar anîn beşek ji alfabeya Letonî ye û ji bo domanên bi zimanê Letonî tê pejirandin.
Ji bo derbaskirina fîlterên tora reklamê ya Google-ê û fîlterkirina botên ku dikarin malware-ê tesbît bikin, malperek navberê ya navbeynkar keepassstacking.site wekî lînka sereke di bloka reklamê de hate destnîşan kirin, ku bikarhênerên ku hin pîvanan bi cih tînin ber bi qada dummy "ķeepass" ve beralî dike. .info”.
Sêwirana malpera dummy hate stîlîzekirin ku dişibihe malpera fermî ya KeePass, lê hate guheztin dakêşana bernameyê bi tundîtir dakêşan (naskirin û şêwaza malpera fermî hate parastin). Rûpelê dakêşanê ji bo platforma Windows-ê sazkerek msix-ê ku kodek xirab heye ku bi îmzeyek dîjîtal a derbasdar ve tê pêşkêş kir. Ger pelê dakêşandî li ser pergala bikarhêner hate darve kirin, skrîptek FakeBat jî hate destpêkirin, pêkhateyên xirab ji serverek derveyî dakêşand da ku êrişî pergala bikarhêner bike (mînak, ji bo têkbirina daneyên nepenî, girêdana bi botnetek, an şûna jimareyên berîka krîptoyê li clipboard).
Source: opennet.ru