Forskere fra Malwarebytes Labs har identifisert promoteringen av et falskt nettsted for den gratis passordbehandleren KeePass, som distribuerer skadelig programvare, gjennom Googles annonsenettverk. En særegenhet ved angrepet var bruken av angriperne av «ķeepass.info»-domenet, som ved første øyekast ikke kan skilles i stavemåte fra det offisielle domenet til «keepass.info»-prosjektet. Når du søkte etter søkeordet "keepass" på Google, ble annonsen for det falske nettstedet plassert på første plass, før lenken til det offisielle nettstedet.
For å lure brukere ble det brukt en lenge kjent phishing-teknikk, basert på registrering av internasjonaliserte domener (IDN) som inneholder homoglyfer – tegn som ligner på latinske bokstaver, men har en annen betydning og har sin egen unicode-kode. Spesielt er domenet "ķeepass.info" faktisk registrert som "xn--eepass-vbb.info" i punycode-notasjon, og hvis du ser nøye på navnet som vises i adressefeltet, kan du se en prikk under bokstaven " ķ”, som oppfattes av flertallet brukere er som en flekk på skjermen. Illusjonen om autentisiteten til det åpne nettstedet ble forsterket av det faktum at det falske nettstedet ble åpnet via HTTPS med et korrekt TLS-sertifikat oppnådd for et internasjonalisert domene.
For å blokkere misbruk tillater ikke registrarer registrering av IDN-domener som blander tegn fra forskjellige alfabeter. For eksempel kan et dummy-domene apple.com ("xn--pple-43d.com") ikke opprettes ved å erstatte det latinske "a" (U+0061) med det kyrilliske "a" (U+0430). Blanding av latinske og Unicode-tegn i et domenenavn er også blokkert, men det er et unntak fra denne begrensningen, som er hva angripere drar nytte av - blanding med Unicode-tegn som tilhører en gruppe latinske tegn som tilhører samme alfabet er tillatt i domene. For eksempel er bokstaven "ķ" brukt i angrepet under vurdering en del av det latviske alfabetet og er akseptabelt for domener på det latviske språket.
For å omgå filtrene til Googles annonsenettverk og for å filtrere ut roboter som kan oppdage skadelig programvare, ble et mellomlagsnettsted keepassstacking.site spesifisert som hovedlenken i reklameblokken, som omdirigerer brukere som oppfyller visse kriterier til dummy-domenet «ķeepass .info”.
Utformingen av dummy-nettstedet ble stilisert for å ligne det offisielle KeePass-nettstedet, men endret til mer aggressivt push-programnedlastinger (gjenkjennelsen og stilen til den offisielle nettsiden ble bevart). Nedlastingssiden for Windows-plattformen tilbød et msix-installasjonsprogram som inneholdt ondsinnet kode som fulgte med en gyldig digital signatur. Hvis den nedlastede filen ble utført på brukerens system, ble det i tillegg lansert et FakeBat-skript, som laster ned skadelige komponenter fra en ekstern server for å angripe brukerens system (for eksempel for å avskjære konfidensielle data, koble til et botnett eller erstatte kryptolommeboknumre i utklippstavlen).
Kilde: opennet.ru