„Malwarebytes Labs“ tyrėjai nustatė, kad „Google“ reklamos tinkle reklamuojama suklastota nemokama slaptažodžių tvarkyklės „KeePass“, kuri platina kenkėjiškas programas, svetainė. Atakos ypatumas buvo užpuolikų naudojimas „ķeepass.info“ domenu, kuris iš pirmo žvilgsnio rašybos požiūriu nesiskiria nuo oficialaus projekto „keepass.info“ domeno. „Google“ ieškant raktinio žodžio „keepass“, suklastotos svetainės reklama buvo patalpinta pirmoje vietoje, prieš nuorodą į oficialią svetainę.
Vartotojams apgauti buvo naudojama seniai žinoma sukčiavimo technika, pagrįsta internacionalizuotų domenų (IDN), kuriuose yra homoglifų – simbolių, kurie atrodo panašiai į lotyniškas raides, bet turi skirtingą reikšmę ir turi savo unikodo kodą, registracija. Konkrečiai kalbant, domenas „ķeepass.info“ iš tikrųjų yra užregistruotas kaip „xn--eepass-vbb.info“, naudojant „punycode“ žymėjimą, o jei atidžiai pažvelgsite į pavadinimą, rodomą adreso juostoje, pamatysite tašką po raide „ ķ“, kurį suvokia dauguma vartotojų, yra tarsi dėmė ekrane. Atviros svetainės autentiškumo iliuziją sustiprino tai, kad netikra svetainė buvo atidaryta per HTTPS naudojant teisingą TLS sertifikatą, gautą internacionalizuotam domenui.
Norėdami užblokuoti piktnaudžiavimą, registratoriai neleidžia registruoti IDN domenų, kuriuose maišomi skirtingų abėcėlių simboliai. Pavyzdžiui, netikras domenas apple.com („xn--pple-43d.com“) negali būti sukurtas pakeitus lotynišką „a“ (U+0061) kirilicos „a“ (U+0430). Lotyniškų ir unikodinių simbolių maišymas domeno pavadinime taip pat blokuojamas, tačiau yra šio apribojimo išimtis, kuria pasinaudoja užpuolikai – maišyti su Unicode simboliais, priklausančiais lotyniškų simbolių grupei, priklausančiai tai pačiai abėcėlei, leidžiama domenas. Pavyzdžiui, nagrinėjamoje atakoje naudojama raidė „ķ“ yra latvių abėcėlės dalis ir yra priimtina domenams latvių kalba.
Norint apeiti Google reklamos tinklo filtrus ir išfiltruoti kenkėjiškas programas galinčius aptikti robotus, kaip pagrindinė reklamos bloko nuoroda buvo nurodyta tarpinio sluoksnio svetainė keepassstacking.site, kuri nukreipia tam tikrus kriterijus atitinkančius vartotojus į netikrą domeną „ķeepass“. .info“.
Manekeno svetainės dizainas buvo stilizuotas taip, kad būtų panašus į oficialią „KeePass“ svetainę, tačiau pakeistas į agresyvesnį programų atsisiuntimą (išsaugotas oficialios svetainės atpažinimas ir stilius). „Windows“ platformos atsisiuntimo puslapyje buvo pateikta „msix“ diegimo programa, kurioje yra kenkėjiškas kodas su galiojančiu skaitmeniniu parašu. Jei atsisiųstas failas buvo paleistas vartotojo sistemoje, papildomai buvo paleistas FakeBat scenarijus, parsisiunčiantis kenkėjiškų komponentų iš išorinio serverio, kad galėtų atakuoti vartotojo sistemą (pvz., perimti konfidencialius duomenis, prisijungti prie botneto arba pakeisti kriptovaliutų piniginės numerius). iškarpinę).
Šaltinis: opennet.ru