Malwarebytes Labs-ийн судлаачид Google-ийн зар сурталчилгааны сүлжээгээр дамжуулан хортой програм түгээдэг үнэгүй нууц үгийн менежер KeePass-ийн хуурамч вэб сайтыг сурталчилж байгааг тогтоожээ. Энэхүү халдлагын нэг онцлог нь халдагчид “ķeepass.info” домэйныг ашигласан явдал байсан бөгөөд энэ нь эхлээд харахад “keepass.info” төслийн албан ёсны домайнаас ялгагдахааргүй юм. Google-ээс “keepass” гэсэн түлхүүр үгийг хайхад албан ёсны сайтын холбоосын өмнө хуурамч сайтын сурталчилгааг эхний байранд байрлуулсан байна.
Хэрэглэгчдийг хууран мэхлэхийн тулд латин үсэгтэй төстэй боловч өөр утгатай, өөр өөрийн юникод кодтой тэмдэгтүүдийг агуулсан олон улсын чанартай домэйн (IDN) бүртгэлд үндэслэсэн урт нэртэй фишингийн аргыг ашигласан. Тодруулбал, “ķeepass.info” домэйн нь punycode тэмдэглэгээнд “xn--eepass-vbb.info” гэж бүртгэгдсэн бөгөөд хаягийн мөрөнд байгаа нэрийг сайтар харвал “ үсгийн доор цэг харагдах болно. ķ” гэдэг нь дийлэнх хэрэглэгчдэд мэдрэгдэж байгаа нь дэлгэцэн дээрх толбо мэт. Хуурамч сайтыг олон улсын чанартай домэйнд авсан зөв TLS гэрчилгээтэй HTTPS-ээр нээсэн нь нээлттэй сайтын жинхэнэ байдлын хуурмаг байдлыг сайжруулсан.
Зохисгүй хэрэглээг хориглохын тулд бүртгэгчид өөр өөр цагаан толгойн үсгийн тэмдэгтүүдийг хольсон IDN домайныг бүртгэхийг зөвшөөрдөггүй. Жишээлбэл, латин “a” (U+43) үсгийг кирилл “a” (U+0061) үсгээр сольж apple.com (“xn--pple-0430d.com”) дамми домайн үүсгэх боломжгүй. Домэйн нэрэнд латин болон юникод тэмдэгтүүдийг холихыг мөн хориглосон боловч халдагчид давуу тал болох энэхүү хязгаарлалтаас үл хамаарах зүйл байдаг - ижил цагаан толгойд хамаарах латин тэмдэгтүүдийн бүлэгт хамаарах Юникод тэмдэгтүүдтэй холихыг зөвшөөрнө. домэйн. Жишээлбэл, халдлагад ашигласан "ķ" үсэг нь Латви цагаан толгойн нэг хэсэг бөгөөд Латви хэлний домэйнд зөвшөөрөгдөх боломжтой.
Google-ийн зар сурталчилгааны сүлжээний шүүлтүүрийг алгасаж, хортой програмыг илрүүлдэг роботуудыг шүүхийн тулд зар сурталчилгааны блокийн үндсэн холбоосоор Keepassstacking.site завсрын давхаргын сайтыг зааж өгсөн бөгөөд энэ нь тодорхой шалгуурыг хангасан хэрэглэгчдийг "ķeepass" дамми домайн руу чиглүүлдэг. .info”.
Хөдөлгөөнгүй сайтын дизайныг албан ёсны KeePass вэб сайттай төстэй болгохын тулд загварчилсан боловч програмыг татаж авахыг илүү түрэмгий болгож өөрчилсөн (албан ёсны вэбсайтын таних тэмдэг, хэв маяг хадгалагдан үлдсэн). Windows платформын татаж авах хуудас нь хүчинтэй тоон гарын үсэг бүхий хортой код агуулсан msix суулгагчийг санал болгосон. Хэрэв татаж авсан файлыг хэрэглэгчийн систем дээр ажиллуулсан бол FakeBat скриптийг нэмж ажиллуулж, хэрэглэгчийн системд халдах (жишээлбэл, нууц мэдээллийг таслах, ботнетэд холбогдох, крипто түрийвчний дугаарыг солих гэх мэт) гадны серверээс хортой бүрэлдэхүүн хэсгүүдийг татаж авдаг. санах ой).
Эх сурвалж: opennet.ru