Riċerkaturi minn Malwarebytes Labs identifikaw il-promozzjoni ta’ websajt falza għall-maniġer tal-passwords b’xejn KeePass, li jqassam malware, permezz tan-netwerk tar-reklamar ta’ Google. Partikolarità tal-attakk kienet l-użu mill-attakkanti tad-dominju "ķeepass.info", li mal-ewwel daqqa t'għajn ma jintgħarafx fl-ortografija mid-dominju uffiċjali tal-proġett "keepass.info". Meta fittex il-kelma prinċipali "keepass" fuq Google, ir-riklam għas-sit falz tqiegħed fl-ewwel post, qabel il-link għas-sit uffiċjali.
Biex tqarraq bl-utenti, intużat teknika ta’ phishing magħrufa għal żmien twil, ibbażata fuq ir-reġistrazzjoni ta’ domains internazzjonalizzati (IDN) li fihom homoglyphs – karattri li jixbhu lill-ittri Latini, iżda għandhom tifsira differenti u għandhom il-kodiċi unicode tagħhom stess. B'mod partikolari, id-dominju "ķeepass.info" huwa attwalment irreġistrat bħala "xn--eepass-vbb.info" f'notazzjoni punycode u jekk tħares mill-qrib lejn l-isem muri fil-bar tal-indirizz, tista 'tara tikka taħt l-ittra " ķ”, li hija pperċepita mill-maġġoranza tal-utenti huma bħal speck fuq l-iskrin. L-illużjoni tal-awtentiċità tas-sit miftuħ ġiet imsaħħa mill-fatt li s-sit falz infetaħ permezz ta 'HTTPS b'ċertifikat TLS korrett miksub għal dominju internazzjonalizzat.
Biex jimblokka l-abbuż, ir-reġistraturi ma jippermettux ir-reġistrazzjoni ta' dominji IDN li jħalltu karattri minn alfabeti differenti. Pereżempju, dominju finta apple.com (“xn--pple-43d.com”) ma jistax jinħoloq billi tissostitwixxi l-Latin “a” (U+0061) biċ-ċirilliku “a” (U+0430). It-taħlit ta' karattri Latini u Unicode f'isem ta' dominju huwa wkoll imblukkat, iżda hemm eċċezzjoni għal din ir-restrizzjoni, li hija minnha l-attakkanti jieħdu vantaġġ - it-taħlit ma' karattri Unicode li jappartjenu għal grupp ta' karattri Latini li jappartjenu għall-istess alfabett huwa permess fil- dominju. Pereżempju, l-ittra “ķ” użata fl-attakk li qed jiġi kkunsidrat hija parti mill-alfabett Latvjan u hija aċċettabbli għal oqsma fil-lingwa Latvjana.
Biex taqbeż il-filtri tan-netwerk tar-reklamar ta' Google u biex jiġu ffiltrati l-bots li jistgħu jiskopru malware, sit intersaff intermedju keepassstacking.site ġie speċifikat bħala l-link prinċipali fil-blokk tar-reklamar, li jidderieġi mill-ġdid lill-utenti li jissodisfaw ċerti kriterji għad-dominju finta "ķeepass .info”.
Id-disinn tas-sit finta kien stilizzat biex jixbah il-websajt uffiċjali ta 'KeePass, iżda nbidel għal downloads tal-programmi push b'mod aktar aggressiv (ir-rikonoxximent u l-istil tal-websajt uffiċjali ġew ippreservati). Il-paġna tat-tniżżil għall-pjattaforma tal-Windows offriet installatur msix li fih kodiċi malizzjuż li ġie b'firma diġitali valida. Jekk il-fajl imniżżel ġie eżegwit fuq is-sistema tal-utent, tnieda skript FakeBat addizzjonalment, li jniżżel komponenti malizzjużi minn server estern biex jattakka s-sistema tal-utent (pereżempju, biex jinterċetta data kunfidenzjali, qabbad ma' botnet, jew jissostitwixxi numri tal-kartiera kripto f' il-clipboard).
Sors: opennet.ru