Malwarebytes Labs හි පර්යේෂකයන් විසින් Google වෙළඳ ප්රචාරණ ජාලය හරහා අනිෂ්ට මෘදුකාංග බෙදාහරින නොමිලේ මුරපද කළමනාකරු KeePass සඳහා ව්යාජ වෙබ් අඩවියක් ප්රවර්ධනය කිරීම හඳුනාගෙන ඇත. ප්රහාරයේ විශේෂත්වයක් වූයේ "ķeepass.info" වසම ප්රහාරකයින් විසින් භාවිතා කිරීමයි, එය බැලූ බැල්මට "keepass.info" ව්යාපෘතියේ නිල වසමෙන් අක්ෂර වින්යාසයෙන් වෙන්කර හඳුනාගත නොහැක. ගූගල් හි “keepass” යන මූල පදය සෙවීමේදී, නිල වෙබ් අඩවියට සබැඳියට පෙර, ව්යාජ වෙබ් අඩවියේ වෙළඳ දැන්වීම පළමු ස්ථානයේ තබා ඇත.
පරිශීලකයන් රැවටීම සඳහා, ලතින් අකුරුවලට සමාන, නමුත් වෙනස් අර්ථයක් ඇති සහ තමන්ගේම යුනිකෝඩ් කේතයක් ඇති අක්ෂර - homoglyphs අඩංගු ජාත්යන්තරකරණය වූ වසම් (IDN) ලියාපදිංචි කිරීම මත පදනම්ව, දිගුකාලීනව දන්නා තතුබෑම් තාක්ෂණයක් භාවිතා කරන ලදී. විශේෂයෙන්ම, “ķeepass.info” වසම සැබවින්ම punycode අංකනයෙහි “xn--eepass-vbb.info” ලෙස ලියාපදිංචි වී ඇති අතර ලිපින තීරුවේ පෙන්වා ඇති නම දෙස හොඳින් බැලුවහොත්, ඔබට “” අකුරට යටින් තිතක් දැකිය හැකිය. ķ", බහුතර පරිශීලකයින් විසින් වටහාගෙන ඇත්තේ තිරයේ ඇති පැල්ලමක් වැනි ය. ජාත්යන්තරකරණය වූ වසමක් සඳහා ලබාගත් නිවැරදි TLS සහතිකයක් සමඟින් HTTPS හරහා ව්යාජ වෙබ් අඩවිය විවෘත කිරීම නිසා විවෘත අඩවියේ සත්යතාව පිළිබඳ මිත්යාව වැඩි දියුණු විය.
අපයෝජනය අවහිර කිරීමට, විවිධ හෝඩියේ අක්ෂර මිශ්ර කරන IDN වසම් ලියාපදිංචි කිරීමට රෙජිස්ට්රාර්වරුන් ඉඩ නොදේ. උදාහරණයක් ලෙස, ලතින් "a" (U+43) සිරිලික් "a" (U+0061) සමඟ ප්රතිස්ථාපනය කිරීමෙන් apple.com ("xn--pple-0430d.com") ව්යාජ වසමක් සෑදිය නොහැක. වසම් නාමයක ලතින් සහ යුනිකෝඩ් අක්ෂර මිශ්ර කිරීම ද අවහිර කර ඇත, නමුත් මෙම සීමාවට ව්යතිරේකයක් ඇත, ප්රහාරකයින් ප්රයෝජන ගන්නේ එයයි - එකම හෝඩියට අයත් ලතින් අක්ෂර සමූහයකට අයත් යුනිකෝඩ් අක්ෂර සමඟ මිශ්ර කිරීමට අවසර ඇත. වසම්. උදාහරණයක් ලෙස, සලකා බලනු ලබන ප්රහාරයේ භාවිතා කරන ලද "ķ" අක්ෂරය ලැට්වියානු හෝඩියේ කොටසක් වන අතර එය ලැට්වියානු භාෂාවේ වසම් සඳහා පිළිගත හැකිය.
ගූගල් ප්රචාරණ ජාලයේ පෙරහන් මඟ හැරීමට සහ අනිෂ්ට මෘදුකාංග හඳුනාගත හැකි බොට් පෙරීමට, ප්රචාරණ කොටසේ ප්රධාන සබැඳිය ලෙස අතරමැදි අන්තර් ස්ථර වෙබ් අඩවියක් keepassstacking.site සඳහන් කර ඇති අතර, එමඟින් ඇතැම් නිර්ණායක සපුරාලන පරිශීලකයින් ව්යාජ වසම වෙත හරවා යවයි. .තොරතුරු".
ව්යාජ වෙබ් අඩවියේ සැලසුම නිල KeePass වෙබ් අඩවියට සමාන වන පරිදි ශෛලීගත කර ඇත, නමුත් වඩාත් ආක්රමණශීලී ලෙස තල්ලු කිරීමේ වැඩසටහන් බාගැනීම් වෙත වෙනස් කරන ලදී (නිල වෙබ් අඩවියේ පිළිගැනීම සහ විලාසය සංරක්ෂණය කර ඇත). Windows වේදිකාව සඳහා බාගැනීම් පිටුව වලංගු ඩිජිටල් අත්සනක් සහිත අනිෂ්ට කේතයක් අඩංගු msix ස්ථාපකයක් ඉදිරිපත් කළේය. බාගත කළ ගොනුව පරිශීලකයාගේ පද්ධතිය මත ක්රියාත්මක කර ඇත්නම්, පරිශීලකයාගේ පද්ධතියට ප්රහාර එල්ල කිරීම සඳහා බාහිර සේවාදායකයකින් අනිෂ්ට සංරචක බාගත කරමින් FakeBat ස්ක්රිප්ට් එකක් අතිරේකව දියත් කරන ලදී (නිදසුනක් ලෙස, රහස්ය දත්ත වලට බාධා කිරීමට, බොට්නෙට් එකකට සම්බන්ධ වීමට හෝ ක්රිප්ටෝ පසුම්බි අංක ප්රතිස්ථාපනය කිරීමට. පසුරු පුවරුව).
මූලාශ්රය: opennet.ru