Watafiti kutoka Malwarebytes Labs wametambua utangazaji wa tovuti ghushi ya kidhibiti cha nenosiri kisicholipishwa cha KeePass, ambacho husambaza programu hasidi, kupitia mtandao wa utangazaji wa Google. Kipengele cha shambulio hilo kilikuwa matumizi ya wavamizi wa kikoa cha "ķeepass.info", ambacho kwa mtazamo wa kwanza hakiwezi kutofautishwa katika tahajia kutoka kwa kikoa rasmi cha mradi wa "keepass.info". Wakati wa kutafuta neno la msingi "keepass" kwenye Google, tangazo la tovuti bandia liliwekwa mahali pa kwanza, kabla ya kiungo kwenye tovuti rasmi.
Ili kuwahadaa watumiaji, mbinu ya muda mrefu ya kuhadaa ilitumiwa, kulingana na usajili wa vikoa vya kimataifa (IDN) vyenye homoglyphs - herufi zinazofanana na herufi za Kilatini, lakini zina maana tofauti na zina msimbo wao wa unicode. Hasa, kikoa cha “ķeepass.info” kimesajiliwa kama “xn--eepass-vbb.info” katika nukuu ya punycode na ukitazama kwa makini jina lililoonyeshwa kwenye upau wa anwani, unaweza kuona kitone chini ya herufi “ ķ”, ambayo inatambuliwa na watumiaji wengi ni kama chembe kwenye skrini. Udanganyifu wa uhalisi wa tovuti iliyo wazi uliimarishwa na ukweli kwamba tovuti bandia ilifunguliwa kupitia HTTPS na cheti sahihi cha TLS kilichopatikana kwa kikoa kilichofanywa kimataifa.
Ili kuzuia matumizi mabaya, wasajili hawaruhusu usajili wa vikoa vya IDN vinavyochanganya herufi kutoka alfabeti tofauti. Kwa mfano, kikoa dummy apple.com (“xn--pple-43d.com”) hakiwezi kuundwa kwa kubadilisha Kilatini “a” (U+0061) na Kisiriliki “a” (U+0430). Kuchanganya herufi za Kilatini na Unicode katika jina la kikoa pia kumezuiwa, lakini kuna ubaguzi kwa kizuizi hiki, ambacho washambuliaji huchukua fursa hiyo - kuchanganya na herufi za Unicode zinazotokana na kundi la herufi za Kilatini zinazomilikiwa na alfabeti moja inaruhusiwa katika kikoa. Kwa mfano, herufi "ķ" iliyotumika katika shambulio linalozingatiwa ni sehemu ya alfabeti ya Kilatvia na inakubalika kwa vikoa katika lugha ya Kilatvia.
Ili kukwepa vichujio vya mtandao wa utangazaji wa Google na kuchuja roboti zinazoweza kugundua programu hasidi, tovuti ya kati ya keepassstacking.site ilibainishwa kuwa kiungo kikuu katika sehemu ya utangazaji, ambayo inaelekeza upya watumiaji wanaokidhi vigezo fulani kwenye kikoa cha dummy “ķeepass .habari”.
Muundo wa tovuti ya dummy uliwekwa mtindo ili kufanana na tovuti rasmi ya KeePass, lakini ilibadilishwa kuwa upakuaji wa programu kwa ukali zaidi (utambuzi na mtindo wa tovuti rasmi ulihifadhiwa). Ukurasa wa upakuaji wa jukwaa la Windows ulitoa kisakinishi cha msix kilicho na msimbo hasidi ambao ulikuja na sahihi ya dijiti. Ikiwa faili iliyopakuliwa ilitekelezwa kwenye mfumo wa mtumiaji, hati ya FakeBat ilizinduliwa zaidi, ikipakua vipengee hasidi kutoka kwa seva ya nje ili kushambulia mfumo wa mtumiaji (kwa mfano, kunasa data ya siri, kuunganisha kwenye botnet, au kubadilisha nambari za pochi ya crypto kwenye ubao wa kunakili).
Chanzo: opennet.ru