Pesquisadores do Malwarebytes Labs identificaram a promoção de um site falso para o gerenciador de senhas gratuito KeePass, que distribui malware, por meio da rede de publicidade do Google. Uma peculiaridade do ataque foi a utilização pelos invasores do domínio “ķeepass.info”, que à primeira vista é indistinguível na grafia do domínio oficial do projeto “keepass.info”. Ao pesquisar pela palavra-chave “keepass” no Google, a propaganda do site falso foi colocada em primeiro lugar, antes do link para o site oficial.
Para enganar os usuários, foi utilizada uma técnica de phishing já conhecida, baseada no registro de domínios internacionalizados (IDN) contendo homóglifos – caracteres que se parecem com letras latinas, mas possuem significado diferente e possuem código unicode próprio. Em particular, o domínio “ķeepass.info” está realmente registrado como “xn--eepass-vbb.info” em notação punycode e se você olhar atentamente para o nome mostrado na barra de endereço, poderá ver um ponto abaixo da letra “ ķ”, que é percebido pela maioria dos usuários como uma mancha na tela. A ilusão da autenticidade do site aberto foi reforçada pelo fato de o site falso ter sido aberto via HTTPS com um certificado TLS correto obtido para um domínio internacionalizado.
Para bloquear abusos, os registradores não permitem o registro de domínios IDN que misturem caracteres de alfabetos diferentes. Por exemplo, um domínio fictício apple.com (“xn--pple-43d.com”) não pode ser criado substituindo o “a” latino (U+0061) pelo “a” cirílico (U+0430). A mistura de caracteres latinos e Unicode em um nome de domínio também é bloqueada, mas há uma exceção a essa restrição, da qual os invasores se aproveitam - a mistura com caracteres Unicode pertencentes a um grupo de caracteres latinos pertencentes ao mesmo alfabeto é permitida no domínio. Por exemplo, a letra “ķ” utilizada no ataque em consideração faz parte do alfabeto letão e é aceitável para domínios na língua letã.
Para contornar os filtros da rede de publicidade do Google e filtrar bots que podem detectar malware, um site intermediário de camada intermediária keepassstacking.site foi especificado como o link principal no bloco de publicidade, que redireciona os usuários que atendem a determinados critérios para o domínio fictício “ķeepass .info”.
O design do site fictício foi estilizado para se parecer com o site oficial do KeePass, mas alterado para downloads de programas mais agressivos (o reconhecimento e o estilo do site oficial foram preservados). A página de download da plataforma Windows oferecia um instalador msix contendo código malicioso que vinha com uma assinatura digital válida. Se o arquivo baixado foi executado no sistema do usuário, um script FakeBat foi lançado adicionalmente, baixando componentes maliciosos de um servidor externo para atacar o sistema do usuário (por exemplo, para interceptar dados confidenciais, conectar-se a uma botnet ou substituir números de carteira criptografada em a área de transferência).
Fonte: opennet.ru