Истражувачите од Malwarebytes Labs идентификуваа промоција на лажна веб-страница за бесплатниот менаџер за лозинки KeePass, кој дистрибуира малициозен софтвер, преку рекламната мрежа на Google. Особеноста на нападот беше употребата од страна на напаѓачите на доменот „ķeepass.info“, кој на прв поглед не се разликува по правопис од официјалниот домен на проектот „keepass.info“. При пребарувањето на клучниот збор „keepass“ на Google, огласот за лажниот сајт беше поставен на прво место, пред врската до официјалната страница.
За да се измамат корисниците, користена е одамна позната техника на фишинг, базирана на регистрација на интернационализирани домени (IDN) кои содржат хомоглифи - знаци кои изгледаат слично на латинските букви, но имаат различно значење и имаат сопствен код за уникод. Конкретно, доменот „ķeepass.info“ е всушност регистриран како „xn--eepass-vbb.info“ во нотација со код и ако внимателно го погледнете името прикажано во лентата за адреси, можете да видите точка под буквата „ ķ“, што го перципираат мнозинството корисници се како дамка на екранот. Илузијата за автентичноста на отворената локација беше зголемена со фактот дека лажниот сајт беше отворен преку HTTPS со точен TLS сертификат добиен за интернационализиран домен.
За да се блокира злоупотребата, регистраторите не дозволуваат регистрација на домени IDN кои мешаат знаци од различни азбуки. На пример, лажен домен apple.com („xn--pple-43d.com“) не може да се креира со замена на латинскиот „a“ (U+0061) со кирилицата „a“ (U+0430). Мешањето латински и Unicode знаци во име на домен е исто така блокирано, но постои исклучок од ова ограничување, што е она што напаѓачите го користат - мешањето со знаци на Unicode кои припаѓаат на група латински знаци кои припаѓаат на истата азбука е дозволено во домен. На пример, буквата „ķ“ што се користи во нападот што се разгледува е дел од латвиската азбука и е прифатлива за домени на латвиски јазик.
За да се заобиколат филтрите на рекламната мрежа на Google и да се филтрираат ботови кои можат да детектираат малициозен софтвер, како главна врска во рекламниот блок беше наведена среднослојна страница keepassstacking.site, која ги пренасочува корисниците кои исполнуваат одредени критериуми на лажниот домен „ķeepass .инфо“.
Дизајнот на кукла-страницата беше стилизиран за да личи на официјалната веб-страница на KeePass, но беше променет во поагресивно преземање програми (препознавањето и стилот на официјалната веб-страница беа зачувани). Страницата за преземање за платформата Виндоус понуди msix инсталатор што содржи злонамерен код што доаѓа со валиден дигитален потпис. Ако преземената датотека била извршена на системот на корисникот, дополнително се активирала скрипта FakeBat, преземајќи малициозни компоненти од надворешен сервер за да го нападне системот на корисникот (на пример, за пресретнување доверливи податоци, поврзување со ботнет или замена на броеви на криптопаричник во таблата со исечоци).
Извор: opennet.ru