Výskumníci z Malwarebytes Labs identifikovali propagáciu falošnej webovej stránky pre bezplatného správcu hesiel KeePass, ktorý distribuuje malvér, prostredníctvom reklamnej siete Google. Zvláštnosťou útoku bolo využitie zo strany útočníkov domény „ķeepass.info“, ktorá je na prvý pohľad pravopisne nerozoznateľná od oficiálnej domény projektu „keepass.info“. Pri vyhľadávaní kľúčového slova „keepass“ na Google sa reklama na falošnú stránku umiestnila na prvé miesto, pred odkaz na oficiálnu stránku.
Na oklamanie používateľov bola použitá dlho známa technika phishingu založená na registrácii internacionalizovaných domén (IDN) obsahujúcich homoglyfy – znaky, ktoré vyzerajú podobne ako latinské písmená, ale majú iný význam a vlastný unicode kód. Najmä doména „ķeepass.info“ je v skutočnosti zaregistrovaná ako „xn--eepass-vbb.info“ v notácii punycode a ak sa pozorne pozriete na názov zobrazený v paneli s adresou, môžete vidieť bodku pod písmenom „ ķ“, ktoré vníma väčšina používateľov ako škvrna na obrazovke. Ilúziu pravosti otvorenej stránky umocnil fakt, že falošná stránka bola otvorená cez HTTPS so správnym TLS certifikátom získaným pre internacionalizovanú doménu.
Aby sa zablokovalo zneužívanie, registrátori nepovoľujú registráciu IDN domén, ktoré miešajú znaky z rôznych abecied. Napríklad fiktívnu doménu apple.com („xn--pple-43d.com“) nemožno vytvoriť nahradením latinského „a“ (U+0061) azbukou „a“ (U+0430). Miešanie znakov latinky a Unicode v názve domény je tiež blokované, ale z tohto obmedzenia existuje výnimka, ktorú útočníci využívajú – miešanie so znakmi Unicode patriacimi do skupiny latinských znakov patriacich do rovnakej abecedy je povolené v domény. Napríklad písmeno „ķ“ použité pri posudzovanom útoku je súčasťou lotyšskej abecedy a je prijateľné pre domény v lotyšskom jazyku.
S cieľom obísť filtre reklamnej siete Google a odfiltrovať roboty, ktoré dokážu odhaliť malvér, bola ako hlavný odkaz v reklamnom bloku špecifikovaná medzivrstvová stránka keepassstacking.site, ktorá používateľov, ktorí spĺňajú určité kritériá, presmeruje na falošnú doménu „ķeepass .Info".
Dizajn fiktívnej stránky bol štylizovaný tak, aby pripomínal oficiálnu webovú stránku KeePass, ale zmenil sa na agresívnejšie sťahovanie programov (rozpoznanie a štýl oficiálnej webovej stránky boli zachované). Stránka na stiahnutie pre platformu Windows ponúkala inštalačný program msix obsahujúci škodlivý kód, ktorý bol dodaný s platným digitálnym podpisom. Ak bol stiahnutý súbor spustený v systéme používateľa, dodatočne sa spustil skript FakeBat, ktorý sťahuje škodlivé komponenty z externého servera s cieľom zaútočiť na systém používateľa (napríklad na zachytenie dôverných údajov, pripojenie k botnetu alebo nahradenie čísel krypto peňaženky v schránka).
Zdroj: opennet.ru