Panaliti ti Malwarebytes Labs parantos ngaidentipikasi promosi situs wéb palsu pikeun manajer sandi gratis KeePass, anu nyebarkeun malware, ngalangkungan jaringan iklan Google. A peculiarity tina serangan éta pamakéan ku panyerang tina domain "ķeepass.info", nu di glance kahiji teu bisa dibédakeun dina éjahan tina domain resmi proyék "keepass.info". Nalika milarian kecap konci "keepass" dina Google, iklan pikeun situs palsu ditempatkeun di tempat munggaran, sateuacan tautan ka situs resmi.
Pikeun nipu pamaké, téhnik phishing geus lila dipikawanoh dipaké, dumasar kana pendaptaran domain internasional (IDN) ngandung homoglyphs - karakter nu kasampak sarupa hurup Latin, tapi boga harti béda jeung boga kode unicode sorangan. Khususna, domain "ķeepass.info" saleresna kadaptar salaku "xn--eepass-vbb.info" dina notasi kode puny sareng upami anjeun ningal nami anu dipidangkeun dina bar alamat, anjeun tiasa ningali titik dina hurup " ķ", nu katarima ku mayoritas pamaké téh kawas speck dina layar. Ilusi tina kaaslian situs kabuka ieu ditingkatkeun ku kanyataan yén situs palsu dibuka via HTTPS kalawan sertipikat TLS bener diala pikeun domain internationalized.
Pikeun meungpeuk nyiksa, registrars teu ngidinan pendaptaran domain IDN nu nyampur karakter tina alfabét béda. Contona, domain dummy apple.com ("xn--pple-43d.com") teu bisa dijieun ku ngaganti Latin "a" (U+0061) jeung Sirilik "a" (U+0430). Campuran karakter Latin sareng Unicode dina nami domain ogé diblokir, tapi aya pengecualian pikeun larangan ieu, anu dimangpaatkeun ku panyerang - campur sareng karakter Unicode milik sakelompok karakter Latin anu kagolong kana alfabét anu sami diidinan dina domain. Salaku conto, hurup "ķ" anu dianggo dina serangan anu dipertimbangkeun mangrupikeun bagian tina alfabét Latvia sareng tiasa ditampi pikeun domain dina basa Latvia.
Pikeun ngalangkungan saringan jaringan iklan Google sareng nyaring bot-bot anu tiasa ngadeteksi malware, situs interlayer panengah keepassstacking.site disaluyukeun salaku tautan utama dina blok iklan, anu alihan pangguna anu nyumponan kriteria anu tangtu kana domain dummy "ķeepass. .info”.
Desain situs dummy ieu stylized nyarupaan ramatloka resmi KeePass, tapi robah jadi leuwih aggressively nyorong undeuran program (pangakuan sarta gaya ramatloka resmi dilestarikan). Halaman undeuran pikeun platform Windows nawiskeun pamasang msix anu ngandung kode jahat anu disayogikeun sareng tanda tangan digital anu valid. Upami file anu diunduh dieksekusi dina sistem pangguna, skrip FakeBat ogé diluncurkeun, ngaunduh komponén jahat tina server éksternal pikeun nyerang sistem pangguna (contona, pikeun nyegat data rahasia, nyambung ka botnet, atanapi ngagentos nomer dompét crypto dina. papan klip).
sumber: opennet.ru