โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การแพร่กระจายมัลแวร์ผ่านการโฆษณาโดเมนที่ไม่แตกต่างจากโดเมนโครงการ KeePass

การแพร่กระจายมัลแวร์ผ่านการโฆษณาโดเมนที่ไม่แตกต่างจากโดเมนโครงการ KeePass

นักวิจัยจาก Malwarebytes Labs ระบุการโปรโมตเว็บไซต์ปลอมสำหรับโปรแกรมจัดการรหัสผ่านฟรี KeePass ซึ่งกระจายมัลแวร์ผ่านเครือข่ายโฆษณาของ Google ลักษณะเฉพาะของการโจมตีคือการใช้งานโดยผู้โจมตีโดเมน “ķeepass.info” ซึ่งเมื่อมองแวบแรกจะสะกดไม่ออกจากโดเมนอย่างเป็นทางการของโครงการ “keepass.info” เมื่อค้นหาคำหลัก “keepass” บน Google โฆษณาสำหรับเว็บไซต์ปลอมจะอยู่อันดับแรก ก่อนลิงก์ไปยังเว็บไซต์อย่างเป็นทางการ

การแพร่กระจายมัลแวร์ผ่านการโฆษณาโดเมนที่ไม่แตกต่างจากโดเมนโครงการ KeePass

ในการหลอกลวงผู้ใช้มีการใช้เทคนิคฟิชชิ่งที่รู้จักกันมานานโดยอิงจากการจดทะเบียนโดเมนสากล (IDN) ที่มีโฮโมกลิฟ - อักขระที่มีลักษณะคล้ายกับตัวอักษรละติน แต่มีความหมายแตกต่างและมีรหัสยูนิโค้ดของตัวเอง โดยเฉพาะอย่างยิ่ง โดเมน “ķeepass.info” ได้รับการจดทะเบียนเป็น “xn--eepass-vbb.info” ในรูปแบบ punycode และหากคุณดูชื่อที่แสดงในแถบที่อยู่อย่างใกล้ชิด คุณจะเห็นจุดใต้ตัวอักษร “ ķ” ซึ่งผู้ใช้ส่วนใหญ่มองว่าเป็นเหมือนจุดบนหน้าจอ ภาพลวงตาของความถูกต้องของไซต์แบบเปิดได้รับการปรับปรุงด้วยข้อเท็จจริงที่ว่าไซต์ปลอมถูกเปิดผ่าน HTTPS พร้อมด้วยใบรับรอง TLS ที่ถูกต้องซึ่งได้รับสำหรับโดเมนสากล

การแพร่กระจายมัลแวร์ผ่านการโฆษณาโดเมนที่ไม่แตกต่างจากโดเมนโครงการ KeePass

เพื่อป้องกันการละเมิด ผู้รับจดทะเบียนไม่อนุญาตให้จดทะเบียนโดเมน IDN ที่ผสมอักขระจากตัวอักษรที่แตกต่างกัน ตัวอย่างเช่น ไม่สามารถสร้างโดเมนจำลอง apple.com (“xn--pple-43d.com”) โดยการแทนที่ภาษาละติน “a” (U+0061) ด้วยอักษรซีริลลิก “a” (U+0430) การผสมอักขระละตินและ Unicode ในชื่อโดเมนก็ถูกบล็อกเช่นกัน แต่มีข้อยกเว้นสำหรับข้อจำกัดนี้ ซึ่งเป็นสิ่งที่ผู้โจมตีใช้ประโยชน์ - การผสมอักขระ Unicode ที่เป็นของกลุ่มอักขระละตินที่เป็นของตัวอักษรเดียวกันนั้นได้รับอนุญาตใน โดเมน. ตัวอย่างเช่น ตัวอักษร “ķ” ที่ใช้ในการโจมตีที่กำลังพิจารณาเป็นส่วนหนึ่งของตัวอักษรลัตเวียและเป็นที่ยอมรับสำหรับโดเมนในภาษาลัตเวีย

เพื่อข้ามตัวกรองของเครือข่ายโฆษณาของ Google และกรองบอทที่สามารถตรวจจับมัลแวร์ได้ ไซต์ระดับกลาง Keepassstacking.site จึงถูกระบุเป็นลิงก์หลักในกลุ่มการโฆษณา ซึ่งเปลี่ยนเส้นทางผู้ใช้ที่มีคุณสมบัติตรงตามเกณฑ์บางอย่างไปยังโดเมนจำลอง “ķeepass .ข้อมูล".

การออกแบบไซต์จำลองได้รับการออกแบบให้มีลักษณะคล้ายกับเว็บไซต์อย่างเป็นทางการของ KeePass แต่เปลี่ยนไปเป็นการผลักดันการดาวน์โหลดโปรแกรมที่ก้าวร้าวมากขึ้น (การจดจำและรูปแบบของเว็บไซต์อย่างเป็นทางการยังคงอยู่) หน้าดาวน์โหลดสำหรับแพลตฟอร์ม Windows มีตัวติดตั้ง msix ที่มีโค้ดที่เป็นอันตรายซึ่งมาพร้อมกับลายเซ็นดิจิทัลที่ถูกต้อง หากไฟล์ที่ดาวน์โหลดถูกดำเนินการบนระบบของผู้ใช้ สคริปต์ FakeBat จะถูกเปิดใช้งานเพิ่มเติม โดยดาวน์โหลดส่วนประกอบที่เป็นอันตรายจากเซิร์ฟเวอร์ภายนอกเพื่อโจมตีระบบของผู้ใช้ (เช่น เพื่อสกัดกั้นข้อมูลที่เป็นความลับ เชื่อมต่อกับบอตเน็ต หรือแทนที่หมายเลขกระเป๋าเงินดิจิตอลใน คลิปบอร์ด)



ที่มา: opennet.ru

เพิ่มความคิดเห็น