Муҳаққиқони Labs Malwarebytes пешбурди вебсайти қалбакиро барои мудири пароли ройгони KeePass, ки нармафзори зарароварро тавассути шабакаи таблиғотии Google паҳн мекунанд, муайян карданд. Хусусияти ин ҳамла истифодаи ҳамлагарон аз домени “ķeepass.info” буд, ки дар назари аввал дар имло аз домени расмии лоиҳаи “keepass.info” фарқ намекунад. Ҳангоми ҷустуҷӯи калимаи калидии "keepass" дар Google, таблиғи сайти қалбакӣ дар ҷои аввал, пеш аз истинод ба сайти расмӣ ҷойгир шудааст.
Барои фиреб додани корбарон як усули деринаи фишинг истифода шуд, ки дар асоси бақайдгирии доменҳои байналмиллалӣ (IDN) дорои гомоглифҳо - аломатҳое, ки ба ҳарфҳои лотинӣ монанданд, вале маънои дигар доранд ва коди Юникоди худро доранд. Аз ҷумла, домени “ķeepass.info” воқеан ҳамчун “xn--eepass-vbb.info” дар қайди punycode сабт шудааст ва агар шумо ба номе, ки дар сатри суроғаҳо нишон дода шудааст, бодиққат нигоҳ кунед, шумо метавонед нуқтаеро дар зери ҳарфи “ ķ", ки аз ҷониби аксарияти корбарон дарк карда мешавад, ба мисли доғ дар экран мебошанд. Иллюзияи ҳаққонияти сайти кушода бо он афзоиш ёфт, ки сайти қалбакӣ тавассути HTTPS бо шаҳодатномаи дурусти TLS барои домени байналмиллалӣ гирифта шудааст.
Барои бастани сӯиистифода, бақайдгирандагон ба қайдгирии доменҳои IDN, ки аломатҳои алифбои гуногунро омехта мекунанд, иҷозат намедиҳанд. Масалан, домени думми apple.com (“xn--pple-43d.com”) бо иваз кардани ҳарфи лотинии “a” (U+0061) бо ҳуруфи кирилии “a” (U+0430) сохта намешавад. Омезиши ҳарфҳои лотинӣ ва Юникод дар номи домен низ манъ аст, аммо истиснои ин маҳдудият вуҷуд дорад, ки ҳамлагарон аз он бартарӣ доранд - омехта кардан бо аломатҳои Юникод, ки ба гурӯҳи аломатҳои лотинии ба як алифбо тааллуқ доранд, иҷозат дода мешавад. домен. Масалан, ҳарфи “ķ”, ки дар ҳамлаи мавриди назар истифода шудааст, ҷузъи алифбои латишӣ буда, барои доменҳои забони латышӣ қобили қабул аст.
Барои гузаштан аз филтрҳои шабакаи таблиғоти Google ва филтр кардани ботҳое, ки метавонанд нармафзори зарароварро ошкор кунанд, сайти фосилавии keepassstacking.site ҳамчун пайванди асосӣ дар блоки таблиғотӣ муайян карда шуд, ки корбаронеро, ки ба меъёрҳои муайян мувофиқат мекунанд, ба домени “ķeepass” равона мекунад. .info».
Тарҳрезии сайти муҷаррадӣ барои шабеҳи вебсайти расмии KeePass услубӣ карда шуд, аммо ба таври хашмгинтар зеркашии барномаҳо тағйир ёфт (эътироф ва услуби вебсайти расмӣ нигоҳ дошта мешуд). Саҳифаи зеркашии платформаи Windows насбкунандаи msix-ро пешниҳод кард, ки дорои рамзи зараровар аст, ки бо имзои дурусти рақамӣ омадааст. Агар файли зеркашидашуда дар системаи корбар иҷро шуда бошад, скрипти FakeBat ба таври иловагӣ оғоз карда шуд, ки ҷузъҳои зарароварро аз сервери беруна барои ҳамла ба системаи корбар зеркашӣ мекард (масалан, барои боздоштани маълумоти махфӣ, пайвастшавӣ ба ботнет ё иваз кардани рақамҳои ҳамёни крипто дар буфер).
Манбаъ: opennet.ru