Raziskovalci Malwarebytes Labs so odkrili promocijo lažnega spletnega mesta za brezplačen upravitelj gesel KeePass, ki distribuira zlonamerno programsko opremo, prek Googlovega oglaševalskega omrežja. Posebnost napada je bila uporaba domene »ķeepass.info« s strani napadalcev, ki se na prvi pogled črkovalno ne razlikuje od uradne domene projekta »keepass.info«. Pri iskanju ključne besede »keepass« na Googlu je bil oglas za lažno stran postavljen na prvo mesto, pred povezavo do uradne strani.
Za zavajanje uporabnikov je bila uporabljena že dolgo znana tehnika lažnega predstavljanja, ki temelji na registraciji internacionaliziranih domen (IDN), ki vsebujejo homoglife - znake, ki so po videzu podobni latinskim črkam, vendar imajo drugačen pomen in imajo svojo unicode kodo. Zlasti domena »ķeepass.info« je dejansko registrirana kot »xn--eepass-vbb.info« v zapisu punycode in če pozorno pogledate ime, prikazano v naslovni vrstici, lahko vidite piko pod črko » ķ«, ki jih večina uporabnikov zaznava kot pikico na ekranu. Iluzijo pristnosti odprte strani je povečalo dejstvo, da je bila lažna stran odprta prek HTTPS s pravilnim TLS certifikatom, pridobljenim za internacionalizirano domeno.
Da bi preprečili zlorabo, registrarji ne dovolijo registracije IDN domen, ki mešajo znake iz različnih abeced. Na primer, navidezne domene apple.com (»xn--pple-43d.com«) ni mogoče ustvariti z zamenjavo latiničnega »a« (U+0061) s cirilskim »a« (U+0430). Blokirano je tudi mešanje latiničnih znakov in znakov Unicode v imenu domene, vendar obstaja izjema od te omejitve, kar napadalci izkoristijo - mešanje z znaki Unicode, ki pripadajo skupini latiničnih znakov, ki pripadajo isti abecedi, je dovoljeno v domena. Na primer, črka »ķ«, uporabljena v obravnavanem napadu, je del latvijske abecede in je sprejemljiva za domene v latvijskem jeziku.
Da bi zaobšli filtre Googlovega oglaševalskega omrežja in izločili bote, ki lahko zaznajo zlonamerno programsko opremo, je bilo kot glavno povezavo v oglasnem bloku določeno vmesno vmesno mesto keepassstacking.site, ki uporabnike, ki izpolnjujejo določene kriterije, preusmeri na navidezno domeno »ķeepass«. .info”.
Zasnova navideznega spletnega mesta je bila stilizirana tako, da je podobna uradnemu spletnemu mestu KeePass, vendar spremenjena v bolj agresivno spodbujanje prenosov programov (prepoznavnost in slog uradnega spletnega mesta sta bila ohranjena). Stran za prenos za platformo Windows je ponujala namestitveni program msix, ki je vseboval zlonamerno kodo, ki je bila priložena veljavnemu digitalnemu podpisu. Če je bila prenesena datoteka izvedena na uporabnikovem sistemu, se je dodatno zagnal skript FakeBat, ki je z zunanjega strežnika prenesel zlonamerne komponente za napad na uporabnikov sistem (na primer za prestrezanje zaupnih podatkov, povezavo z botnetom ali zamenjavo številk kripto denarnice v odložišče).
Vir: opennet.ru