Malwarebytes Labs جي محققن مفت پاسورڊ مينيجر KeePass لاءِ جعلي ويب سائيٽ جي واڌاري جي نشاندهي ڪئي آهي، جيڪا مالويئر کي ورهائي ٿي، گوگل اشتهارن جي نيٽ ورڪ ذريعي. حملي جي هڪ خاصيت ”ķeepass.info“ ڊومين جي حملي آورن پاران استعمال هئي، جيڪا پهرين نظر ۾ ”keepass.info“ پروجيڪٽ جي آفيشل ڊومين مان اسپيلنگ ۾ ڌار ڌار آهي. گوگل تي لفظ ”رکيپاس“ جي ڳولا ۾، جعلي سائيٽ جو اشتهار پهرين جاءِ تي رکيو ويو، سرڪاري سائيٽ جي لنڪ کان اڳ.
استعمال ڪندڙن کي دوکو ڏيڻ لاءِ، هڪ ڊگھي ڄاتل فشنگ ٽيڪنڪ استعمال ڪئي وئي، بين الاقوامي ڊومينز (IDN) جي رجسٽريشن جي بنياد تي، جنهن ۾ homoglyphs شامل آهن - اکر جيڪي لاطيني اکرن سان ملندڙ جلندڙ نظر اچن ٿا، پر ان جي معنيٰ مختلف آهي ۽ انهن جو پنهنجو يونيڪوڊ ڪوڊ آهي. خاص طور تي، ڊومين "ķeepass.info" اصل ۾ punycode نوٽيشن ۾ "xn--eepass-vbb.info" جي طور تي رجسٽر ٿيل آهي ۽ جيڪڏهن توهان ايڊريس بار ۾ ڏيکاريل نالي کي ويجهي نظر سان ڏسندا، توهان کي خط جي هيٺان هڪ نقطو ڏسي سگهو ٿا. ķ”، جنهن کي اڪثريت جي استعمال ڪندڙن طرفان سمجهيو ويندو آهي اسڪرين تي هڪ اسپيڪ وانگر. کليل سائيٽ جي صداقت جي برم حقيقت کي وڌايو ويو ته جعلي سائيٽ کي HTTPS ذريعي کوليو ويو صحيح TLS سرٽيفڪيٽ سان حاصل ڪيل بين الاقوامي ڊومين لاء.
غلط استعمال کي روڪڻ لاءِ، رجسٽرار IDN ڊومينز جي رجسٽريشن جي اجازت نٿا ڏين جيڪي مختلف الفابيٽ جا اکر ملن ٿا. مثال طور، هڪ ڊمي ڊومين apple.com (“xn--pple-43d.com”) لاطيني “a” (U+0061) کي سيريلڪ “a” (U+0430) سان بدلائي نٿو سگهجي. ڊومين جي نالي ۾ لاطيني ۽ يونيڪوڊ اکرن کي گڏ ڪرڻ به بند ڪيو ويو آهي، پر هن پابندي ۾ هڪ استثنا آهي، جنهن جو حملو ڪندڙ فائدو وٺي رهيا آهن - يونيڪوڊ اکرن سان ملائڻ جي اجازت آهي جيڪو لاطيني اکرن جي هڪ گروپ سان تعلق رکي ٿو جيڪو ساڳئي الفابيٽ سان تعلق رکي ٿو. ڊومين. مثال طور، اکر ”ķ“ حملي ۾ استعمال ٿيل غور هيٺ لاتوين الفابيٽ جو حصو آهي ۽ لاتوين ٻوليءَ ۾ ڊومينز لاءِ قابل قبول آهي.
گوگل اشتهارن جي نيٽ ورڪ جي فلٽرن کي نظرانداز ڪرڻ ۽ بوٽن کي فلٽر ڪرڻ لاءِ جيڪي مالويئر کي ڳولي سگھن ٿا، هڪ وچولي انٽرليئر سائيٽ Keepassstacking.site کي اشتهاري بلاڪ ۾ مکيه لنڪ جي طور تي بيان ڪيو ويو آهي، جيڪو صارفين کي ريڊائريڪٽ ڪري ٿو جيڪي مخصوص معيار کي پورا ڪن ٿا ڊمي ڊومين ڏانهن "ķeepass ڄاڻ".
ڊمي سائيٽ جي ڊيزائن کي سرڪاري KeePass ويب سائيٽ وانگر ٺهرايو ويو، پر وڌيڪ جارحتي طور تي پروگرام ڊائون لوڊ ڪرڻ لاء تبديل ڪيو ويو (سرڪاري ويب سائيٽ جي سڃاڻپ ۽ انداز محفوظ ڪيو ويو). ونڊوز پليٽ فارم لاءِ ڊائون لوڊ صفحو هڪ msix انسٽالر پيش ڪيو جنهن ۾ بدسلوڪي ڪوڊ شامل آهي جيڪو صحيح ڊجيٽل دستخط سان آيو. جيڪڏهن ڊائون لوڊ ڪيل فائل کي استعمال ڪندڙ جي سسٽم تي عمل ڪيو ويو، هڪ FakeBat اسڪرپٽ پڻ شروع ڪيو ويو، صارف جي سسٽم تي حملو ڪرڻ لاء هڪ خارجي سرور کان خراب حصن کي ڊائون لوڊ ڪرڻ (مثال طور، رازداري ڊيٽا کي روڪڻ، بوٽنيٽ سان ڳنڍڻ، يا crypto والٽ نمبرن کي تبديل ڪرڻ لاء. ڪلپ بورڊ).
جو ذريعو: opennet.ru