Natukoy ng mga mananaliksik mula sa Malwarebytes Labs ang pag-promote ng isang pekeng website para sa libreng password manager na KeePass, na namamahagi ng malware, sa pamamagitan ng Google advertising network. Ang isang kakaibang uri ng pag-atake ay ang paggamit ng mga umaatake ng "ķeepass.info" na domain, na sa unang tingin ay hindi makikilala sa spelling mula sa opisyal na domain ng "keepass.info" na proyekto. Kapag naghahanap para sa keyword na "keepass" sa Google, ang ad para sa pekeng site ay inilagay sa unang lugar, bago ang link sa opisyal na site.
Upang linlangin ang mga user, ginamit ang isang kilalang pamamaraan ng phishing, batay sa pagpaparehistro ng mga internationalized domain (IDN) na naglalaman ng mga homoglyph - mga character na mukhang katulad ng mga letrang Latin, ngunit may ibang kahulugan at may sariling unicode code. Sa partikular, ang domain na “ķeepass.info” ay aktwal na nakarehistro bilang “xn--eepass-vbb.info” sa punycode notation at kung titingnan mong mabuti ang pangalang ipinapakita sa address bar, makakakita ka ng tuldok sa ilalim ng letrang “ ķ", na nakikita ng karamihan ng mga gumagamit ay parang isang batik sa screen. Ang ilusyon ng pagiging tunay ng bukas na site ay pinahusay ng katotohanan na ang pekeng site ay binuksan sa pamamagitan ng HTTPS na may tamang TLS certificate na nakuha para sa isang internasyonal na domain.
Upang harangan ang pang-aabuso, hindi pinapayagan ng mga registrar ang pagpaparehistro ng mga domain ng IDN na naghahalo ng mga character mula sa iba't ibang mga alpabeto. Halimbawa, ang isang dummy domain na apple.com (“xn--pple-43d.com”) ay hindi maaaring gawin sa pamamagitan ng pagpapalit ng Latin na “a” (U+0061) ng Cyrillic “a” (U+0430). Ang paghahalo ng mga character na Latin at Unicode sa isang domain name ay naharang din, ngunit mayroong isang pagbubukod sa paghihigpit na ito, na siyang sinasamantala ng mga umaatake - ang paghahalo sa mga character na Unicode na kabilang sa isang pangkat ng mga Latin na character na kabilang sa parehong alpabeto ay pinapayagan sa domain. Halimbawa, ang titik na "ķ" na ginamit sa pag-atake na isinasaalang-alang ay bahagi ng alpabetong Latvian at katanggap-tanggap para sa mga domain sa wikang Latvian.
Upang i-bypass ang mga filter ng Google advertising network at upang i-filter ang mga bot na maaaring makakita ng malware, isang intermediate interlayer na site na keepassstacking.site ang tinukoy bilang pangunahing link sa advertising block, na nagre-redirect sa mga user na nakakatugon sa ilang partikular na pamantayan sa dummy domain na “ķeepass .impormasyon”.
Ang disenyo ng dummy site ay inilarawan sa pangkinaugalian upang maging katulad ng opisyal na website ng KeePass, ngunit binago sa mas agresibong itulak ang mga pag-download ng programa (ang pagkilala at istilo ng opisyal na website ay napanatili). Ang pahina ng pag-download para sa platform ng Windows ay nag-aalok ng isang msix installer na naglalaman ng malisyosong code na kasama ng wastong digital na lagda. Kung ang na-download na file ay naisakatuparan sa system ng user, ang isang FakeBat script ay karagdagang inilunsad, na nagda-download ng mga nakakahamak na bahagi mula sa isang external na server upang atakehin ang system ng user (halimbawa, upang maharang ang kumpidensyal na data, kumonekta sa isang botnet, o palitan ang mga numero ng crypto wallet sa ang clipboard).
Pinagmulan: opennet.ru