Fuerscher vu Malwarebytes Labs hunn d'Promotioun vun enger gefälschter Websäit fir de gratis Passwuertmanager KeePass identifizéiert, deen Malware verdeelt, iwwer de Google Werbenetz. Eng Besonderheet vun der Attack war d'Benotzung vun den Ugräifer vun der Domain "ķeepass.info", déi op den éischte Bléck an der Schreifweis net aus dem offiziellen Domain vum Projet "keepass.info" z'ënnerscheeden ass. Wann Dir no dem Schlësselwuert "keepass" op Google sicht, gouf d'Annonce fir de falsche Site op déi éischt Plaz gesat, ier de Link op déi offiziell Säit.
Fir Benotzer ze täuschen, gouf eng laang-bekannt Phishing-Technik benotzt, baséiert op der Registréierung vun internationaliséierten Domainen (IDN) mat Homoglyphen - Zeechen, déi ähnlech wéi laténgesch Buschtawen ausgesinn, awer eng aner Bedeitung hunn an hiren eegene Unicode Code hunn. Besonnesch d'Domain "ķeepass.info" ass tatsächlech registréiert als "xn--eepass-vbb.info" an der Punycode Notatioun a wann Dir genau den Numm an der Adressbar kuckt, kënnt Dir e Punkt ënner dem Bréif " ķ", wat vun der Majoritéit Benotzer ugesi gëtt wéi e Fleck um Écran. D'Illusioun vun der Authentizitéit vum oppene Site gouf verstäerkt duerch d'Tatsaach datt de gefälschte Site iwwer HTTPS opgemaach gouf mat engem korrekten TLS Zertifika kritt fir eng internationaliséiert Domain.
Fir Mëssbrauch ze blockéieren, erlaben Registraren d'Aschreiwung vun IDN-Domänen net, déi Zeeche vu verschiddenen Alfabeten vermëschen. Zum Beispill kann en Dummy-Domain apple.com ("xn--pple-43d.com") net erstallt ginn andeems de Laténgesche "a" (U+0061) duerch de kyrilleschen "a" (U+0430) ersat gëtt. D'Mëschung vu Latäin an Unicode Charaktere an engem Domain Numm ass och blockéiert, awer et gëtt eng Ausnam zu dëser Restriktioun, vun deem Ugräifer profitéieren - Vermëschung mat Unicode Charaktere, déi zu enger Grupp vu laténgesche Charaktere gehéieren, déi zum selwechte Alfabet gehéieren, ass erlaabt an der Domain. Zum Beispill ass de Buschtaf "ķ" deen an der iwwerpréifter Attack benotzt gëtt Deel vum lettesche Alphabet an ass akzeptabel fir Domainen an der lettescher Sprooch.
Fir d'Filtere vum Google Werbe-Netz ze ëmgoen an d'Bots auszefilteren, déi Malware entdecken kënnen, gouf en Zwëschenschicht-Site keepassstacking.site als Haaptlink am Werbeblock uginn, deen d'Benotzer, déi bestëmmte Critèren entspriechen, op den Dummy-Domain "ķeepass" viruleeden .info".
Den Design vum Dummy Site gouf stiliséiert fir op déi offiziell KeePass Websäit ze gleewen, awer geännert fir méi aggressiv Push Programm Downloads (d'Unerkennung an de Stil vun der offizieller Websäit goufe konservéiert). D'Download Säit fir d'Windows Plattform offréiert en msix Installateur mat béiswëllegen Code dee mat enger gëlteg digitaler Ënnerschrëft komm ass. Wann déi erofgeluede Datei um System vum Benotzer ausgefouert gouf, gouf e FakeBat Skript zousätzlech gestart, béiswëlleg Komponenten vun engem externen Server erofzelueden fir de System vum Benotzer z'attackéieren (zum Beispill fir vertraulech Donnéeën z'ënnerscheeden, mat engem Botnet ze verbannen oder Krypto Portemonnaienummeren ze ersetzen an de Clipboard).
Source: opennet.ru