Cercetătorii de la Malwarebytes Labs au identificat promovarea unui site web fals pentru managerul gratuit de parole KeePass, care distribuie malware, prin intermediul rețelei de publicitate Google. O particularitate a atacului a fost utilizarea de către atacatori a domeniului „ķeepass.info”, care la prima vedere nu se distinge prin ortografie de domeniul oficial al proiectului „keepass.info”. La căutarea cuvântului cheie „keepass” pe Google, reclama pentru site-ul fals a fost plasată pe primul loc, înaintea linkului către site-ul oficial.
Pentru a înșela utilizatorii, s-a folosit o tehnică de phishing de mult cunoscută, bazată pe înregistrarea domeniilor internaționalizate (IDN) care conțin homoglife - caractere care arată asemănător cu literele latine, dar au un alt înțeles și au propriul cod unicode. În special, domeniul „ķeepass.info” este de fapt înregistrat ca „xn--eepass-vbb.info” în notație punycode și dacă te uiți cu atenție la numele afișat în bara de adrese, poți vedea un punct sub litera „ ķ”, care este perceput de majoritatea utilizatorilor sunt ca o pată pe ecran. Iluzia autenticității site-ului deschis a fost sporită de faptul că site-ul fals a fost deschis prin HTTPS cu un certificat TLS corect obținut pentru un domeniu internaționalizat.
Pentru a bloca abuzul, registratorii nu permit înregistrarea domeniilor IDN care amestecă caractere din alfabete diferite. De exemplu, un domeniu inactiv apple.com („xn--pple-43d.com”) nu poate fi creat prin înlocuirea „a” latină (U+0061) cu „a” chirilic (U+0430). Amestecarea caracterelor latine și Unicode într-un nume de domeniu este, de asemenea, blocată, dar există o excepție de la această restricție, de care profită atacatorii - amestecarea cu caractere Unicode aparținând unui grup de caractere latine aparținând aceluiași alfabet este permisă în domeniu. De exemplu, litera „ķ” folosită în atacul în cauză face parte din alfabetul leton și este acceptabilă pentru domeniile în limba letonă.
Pentru a ocoli filtrele rețelei de publicitate Google și pentru a filtra roboții care pot detecta malware, a fost specificat un site intermediar keepassstacking.site ca link principal în blocul de publicitate, care redirecționează utilizatorii care îndeplinesc anumite criterii către domeniul inactiv „ķeepass .info”.
Designul site-ului fals a fost stilizat pentru a semăna cu site-ul oficial KeePass, dar a fost schimbat la descărcări de programe mai agresive (recunoașterea și stilul site-ului oficial au fost păstrate). Pagina de descărcare pentru platforma Windows a oferit un program de instalare msix care conține cod rău intenționat care a venit cu o semnătură digitală validă. Dacă fișierul descărcat a fost executat pe sistemul utilizatorului, a fost lansat suplimentar un script FakeBat, care descărca componente rău intenționate de pe un server extern pentru a ataca sistemul utilizatorului (de exemplu, pentru a intercepta date confidențiale, pentru a se conecta la o rețea bot sau pentru a înlocui numerele de portofel criptografic în clipboard-ul).
Sursa: opennet.ru