Badacze z Malwarebytes Labs zidentyfikowali promowanie w sieci reklamowej Google fałszywej witryny internetowej z bezpłatnym menedżerem haseł KeePass, który rozpowszechnia złośliwe oprogramowanie. Osobliwością ataku było wykorzystanie przez atakujących domeny „ķeepass.info”, która na pierwszy rzut oka jest nie do odróżnienia pod względem pisowni od oficjalnej domeny projektu „keepass.info”. Podczas wyszukiwania w Google słowa kluczowego „keepass” reklama fałszywej witryny wyświetlała się na pierwszym miejscu, przed linkiem do oficjalnej strony.
Aby oszukać użytkowników, wykorzystano znaną od dawna technikę phishingową, polegającą na rejestracji domen umiędzynarodowionych (IDN) zawierających homoglify – znaki wyglądające podobnie do liter łacińskich, ale mające inne znaczenie i własny kod Unicode. W szczególności domena „ķeepass.info” jest faktycznie zarejestrowana jako „xn--eepass-vbb.info” w notacji punycode i jeśli przyjrzysz się uważnie nazwie wyświetlanej w pasku adresu, zobaczysz kropkę pod literą „ ķ”, które przez większość użytkowników są postrzegane jako plamka na ekranie. Iluzję autentyczności otwartej witryny potęgował fakt, że fałszywa witryna została otwarta poprzez protokół HTTPS z poprawnym certyfikatem TLS uzyskanym dla umiędzynarodowionej domeny.
Aby zapobiec nadużyciom, rejestratorzy nie zezwalają na rejestrację domen IDN zawierających kombinację znaków z różnych alfabetów. Na przykład fikcyjnej domeny apple.com („xn--pple-43d.com”) nie można utworzyć, zastępując łacińską „a” (U+0061) cyrylicą „a” (U+0430). Mieszanie znaków łacińskich i Unicode w nazwie domeny jest również blokowane, ale istnieje wyjątek od tego ograniczenia, z którego korzystają napastnicy - mieszanie ze znakami Unicode należącymi do grupy znaków łacińskich należących do tego samego alfabetu jest dozwolone w domena. Przykładowo litera „ķ” użyta w rozpatrywanym ataku jest częścią alfabetu łotewskiego i jest akceptowalna dla domen w języku łotewskim.
Aby ominąć filtry sieci reklamowej Google i odfiltrować boty potrafiące wykryć złośliwe oprogramowanie, jako główny link w bloku reklamowym określono pośrednią witrynę międzywarstwową keepassstacking.site, która przekierowuje użytkowników spełniających określone kryteria do fałszywej domeny „ķeepass .info”.
Wygląd fikcyjnej witryny został stylizowany na oficjalną witrynę KeePass, ale został zmieniony w taki sposób, aby pobieranie programów było bardziej agresywne (rozpoznawalność i styl oficjalnej witryny zostały zachowane). Strona pobierania dla platformy Windows oferowała instalator msix zawierający złośliwy kod z prawidłowym podpisem cyfrowym. Jeżeli pobrany plik został wykonany w systemie użytkownika, dodatkowo uruchamiany był skrypt FakeBat, pobierający z serwera zewnętrznego szkodliwe komponenty w celu zaatakowania systemu użytkownika (na przykład w celu przechwycenia poufnych danych, połączenia się z botnetem, czy też podmiany numerów portfeli kryptowalutowych w schowka).
Źródło: opennet.ru