Studiuesit nga Malwarebytes Labs kanë identifikuar promovimin e një faqe interneti të rreme për menaxherin falas të fjalëkalimeve KeePass, i cili shpërndan malware, përmes rrjetit të reklamave Google. E veçanta e sulmit ishte përdorimi nga sulmuesit e domenit “ķeepass.info”, i cili në shikim të parë nuk dallohet në drejtshkrim nga domeni zyrtar i projektit “keepass.info”. Gjatë kërkimit të fjalës kyçe "keepass" në Google, reklama për faqen e rreme u vendos në vend të parë, përpara lidhjes me faqen zyrtare.
Për të mashtruar përdoruesit, u përdor një teknikë e njohur prej kohësh phishing, bazuar në regjistrimin e domeneve të ndërkombëtarizuara (IDN) që përmbajnë homoglife - karaktere që duken të ngjashme me shkronjat latine, por kanë një kuptim tjetër dhe kanë kodin e tyre unicode. Në veçanti, domeni "ķeepass.info" në fakt është i regjistruar si "xn--eepass-vbb.info" në shënimin punycode dhe nëse shikoni nga afër emrin e treguar në shiritin e adresave, mund të shihni një pikë nën shkronjën " ķ”, e cila perceptohet nga shumica e përdoruesve janë si një pikë në ekran. Iluzioni i origjinalitetit të faqes së hapur u rrit nga fakti se faqja e rreme u hap përmes HTTPS me një certifikatë të saktë TLS të marrë për një domen të ndërkombëtarizuar.
Për të bllokuar abuzimin, regjistruesit nuk lejojnë regjistrimin e domeneve IDN që përziejnë karaktere nga alfabete të ndryshme. Për shembull, një domen i rremë apple.com ("xn--pple-43d.com") nuk mund të krijohet duke zëvendësuar latinishten "a" (U+0061) me "a" cirilike (U+0430). Përzierja e karaktereve latine dhe unicode në një emër domeni është gjithashtu e bllokuar, por ekziston një përjashtim nga ky kufizim, nga i cili përfitojnë sulmuesit - përzierja me karaktere Unicode që i përkasin një grupi karakteresh latine që i përkasin të njëjtit alfabet lejohet në domain. Për shembull, shkronja "ķ" e përdorur në sulmin në shqyrtim është pjesë e alfabetit letonisht dhe është e pranueshme për domenet në gjuhën letoneze.
Për të anashkaluar filtrat e rrjetit të reklamave të Google dhe për të filtruar robotët që mund të zbulojnë malware, si lidhja kryesore në bllokun e reklamave u specifikua një sajt i ndërmjetëm me shtresa të ndërmjetme keepassstacking.site, i cili ridrejton përdoruesit që plotësojnë disa kritere në domenin e rremë "ķeepass .info”.
Dizajni i faqes dummy u stilizua që të ngjante me faqen zyrtare të KeePass, por u ndryshua në shkarkime më agresive të programeve (njohja dhe stili i faqes zyrtare të internetit u ruajtën). Faqja e shkarkimit për platformën Windows ofroi një instalues msix që përmban kodin keqdashës që vinte me një nënshkrim dixhital të vlefshëm. Nëse skedari i shkarkuar ishte ekzekutuar në sistemin e përdoruesit, një skrip FakeBat u lançua gjithashtu, duke shkarkuar komponentë me qëllim të keq nga një server i jashtëm për të sulmuar sistemin e përdoruesit (për shembull, për të përgjuar të dhëna konfidenciale, për t'u lidhur me një botnet ose për të zëvendësuar numrat e portofolit të kriptove në clipboard).
Burimi: opennet.ru