மால்வேர்பைட்ஸ் ஆய்வகத்தின் ஆராய்ச்சியாளர்கள், Google விளம்பர நெட்வொர்க் மூலம் தீம்பொருளை விநியோகிக்கும் இலவச கடவுச்சொல் நிர்வாகி KeePass க்கான போலி வலைத்தளத்தை விளம்பரப்படுத்துவதை அடையாளம் கண்டுள்ளனர். "ķeepass.info" டொமைனைத் தாக்குபவர்களால் பயன்படுத்தப்பட்டது தாக்குதலின் ஒரு தனித்தன்மையாகும், இது முதல் பார்வையில் "keepass.info" திட்டத்தின் அதிகாரப்பூர்வ டொமைனில் இருந்து எழுத்துப்பிழையில் பிரித்தறிய முடியாதது. கூகுளில் "keepass" என்ற முக்கிய சொல்லைத் தேடும் போது, அதிகாரப்பூர்வ தளத்திற்கான இணைப்புக்கு முன், போலி தளத்திற்கான விளம்பரம் முதல் இடத்தில் வைக்கப்பட்டது.
பயனர்களை ஏமாற்ற, நீண்டகாலமாக அறியப்பட்ட ஃபிஷிங் நுட்பம், ஹோமோகிளிஃப்களைக் கொண்ட சர்வதேசமயமாக்கப்பட்ட டொமைன்களின் (IDN) பதிவு அடிப்படையில் பயன்படுத்தப்பட்டது - லத்தீன் எழுத்துக்களைப் போலவே தோற்றமளிக்கும் எழுத்துக்கள், ஆனால் வேறுபட்ட அர்த்தத்தைக் கொண்டவை மற்றும் அவற்றின் சொந்த யூனிகோட் குறியீட்டைக் கொண்டுள்ளன. குறிப்பாக, "ķeepass.info" டொமைன் உண்மையில் "xn--eepass-vbb.info" என punycode குறியீட்டில் பதிவு செய்யப்பட்டுள்ளது, மேலும் முகவரிப் பட்டியில் காட்டப்பட்டுள்ள பெயரைக் கூர்ந்து கவனித்தால், "" என்ற எழுத்தின் கீழ் ஒரு புள்ளியைக் காணலாம். ķ”, இது திரையில் ஒரு புள்ளி போன்றது என்று பெரும்பான்மையான பயனர்களால் உணரப்படுகிறது. சர்வதேசமயமாக்கப்பட்ட டொமைனுக்காகப் பெறப்பட்ட சரியான TLS சான்றிதழுடன் HTTPS மூலம் போலி தளம் திறக்கப்பட்டதன் மூலம் திறந்த தளத்தின் நம்பகத்தன்மை பற்றிய மாயை மேம்படுத்தப்பட்டது.
துஷ்பிரயோகத்தைத் தடுக்க, வெவ்வேறு எழுத்துக்களில் உள்ள எழுத்துக்களைக் கலக்கும் IDN டொமைன்களைப் பதிவுசெய்ய பதிவாளர்கள் அனுமதிப்பதில்லை. எடுத்துக்காட்டாக, லத்தீன் “a” (U+43) ஐ சிரிலிக் “a” (U+0061) உடன் மாற்றுவதன் மூலம் apple.com (“xn--pple-0430d.com”) என்ற போலி டொமைனை உருவாக்க முடியாது. ஒரு டொமைன் பெயரில் லத்தீன் மற்றும் யூனிகோட் எழுத்துக்களைக் கலப்பதும் தடைசெய்யப்பட்டுள்ளது, ஆனால் இந்தத் தடைக்கு விதிவிலக்கு உள்ளது, இதைத் தாக்குபவர்கள் பயன்படுத்திக் கொள்கிறார்கள் - ஒரே எழுத்துக்களைச் சேர்ந்த லத்தீன் எழுத்துக்களின் குழுவைச் சேர்ந்த யூனிகோட் எழுத்துக்களுடன் கலக்க அனுமதிக்கப்படுகிறது. களம். எடுத்துக்காட்டாக, பரிசீலனையில் உள்ள தாக்குதலில் பயன்படுத்தப்படும் “ķ” எழுத்து லாட்வியன் எழுத்துக்களின் ஒரு பகுதியாகும், மேலும் இது லாட்வியன் மொழியில் உள்ள டொமைன்களுக்கு ஏற்கத்தக்கது.
Google விளம்பர நெட்வொர்க்கின் வடிப்பான்களைத் தவிர்த்து, தீம்பொருளைக் கண்டறியக்கூடிய போட்களை வடிகட்ட, விளம்பரத் தொகுதியில் ஒரு இடைநிலை இடைநிலை தளம் keepassstacking.site முக்கிய இணைப்பாகக் குறிப்பிடப்பட்டது, இது சில நிபந்தனைகளை பூர்த்தி செய்யும் பயனர்களை போலி டொமைன் “ķeepass” க்கு திருப்பி விடுகிறது. .தகவல்".
போலி தளத்தின் வடிவமைப்பு அதிகாரப்பூர்வ KeePass இணையதளத்தை ஒத்ததாக வடிவமைக்கப்பட்டது, ஆனால் மிகவும் தீவிரமான புஷ் புரோகிராம் பதிவிறக்கங்களுக்கு மாற்றப்பட்டது (அதிகாரப்பூர்வ வலைத்தளத்தின் அங்கீகாரம் மற்றும் பாணி பாதுகாக்கப்பட்டது). Windows இயங்குதளத்திற்கான பதிவிறக்கப் பக்கம் சரியான டிஜிட்டல் கையொப்பத்துடன் வந்த தீங்கிழைக்கும் குறியீட்டைக் கொண்ட msix நிறுவியை வழங்கியது. பதிவிறக்கம் செய்யப்பட்ட கோப்பு பயனரின் கணினியில் செயல்படுத்தப்பட்டால், ஒரு FakeBat ஸ்கிரிப்ட் கூடுதலாகத் தொடங்கப்பட்டது, பயனரின் கணினியைத் தாக்க வெளிப்புற சேவையகத்திலிருந்து தீங்கிழைக்கும் கூறுகளைப் பதிவிறக்குகிறது (உதாரணமாக, ரகசியத் தரவை இடைமறிக்க, போட்நெட்டுடன் இணைக்க அல்லது கிரிப்டோ வாலட் எண்களை மாற்றவும். கிளிப்போர்டு).
ஆதாரம்: opennet.ru