Malwarebytes Labs'tan araştırmacılar, Google reklam ağı üzerinden kötü amaçlı yazılım dağıtan ücretsiz şifre yöneticisi KeePass için sahte bir web sitesinin tanıtımını tespit etti. Saldırının bir özelliği, saldırganların ilk bakışta yazımı "keepass.info" projesinin resmi alanından ayırt edilemeyen "ķeepass.info" alanını kullanmasıydı. Google'da "keepass" anahtar kelimesi arandığında, resmi siteye verilen bağlantıdan önce sahte sitenin reklamı ilk sırada yer aldı.
Kullanıcıları aldatmak için, Latin harflerine benzeyen ancak farklı bir anlamı olan ve kendi unicode koduna sahip olan homoglif karakterleri içeren uluslararasılaştırılmış alanların (IDN) kaydına dayanan, uzun süredir bilinen bir kimlik avı tekniği kullanıldı. Özellikle “ķeepass.info” alanı aslında cılız kod gösterimiyle “xn--eepass-vbb.info” olarak kayıtlı ve adres çubuğunda gösterilen isme yakından bakarsanız “” harfinin altında bir nokta görebilirsiniz. Çoğu kullanıcı tarafından algılanan ķ”, ekranda bir benek gibidir. Açık sitenin orijinalliği yanılsaması, sahte sitenin uluslararası hale getirilmiş bir alan adı için alınan doğru TLS sertifikasıyla HTTPS üzerinden açılmasıyla daha da arttı.
Kötüye kullanımı engellemek için, kayıt şirketleri farklı alfabelerdeki karakterlerin karıştırıldığı IDN alan adlarının kaydına izin vermez. Örneğin, apple.com ("xn--pple-43d.com") sahte alan adı, Latince "a" (U+0061) Kiril alfabesindeki "a" (U+0430) ile değiştirilerek oluşturulamaz. Bir alan adında Latin ve Unicode karakterlerin karıştırılması da engellenir, ancak bu kısıtlamanın bir istisnası vardır ve bu da saldırganların yararlandığı bir durumdur - aynı alfabeye ait bir grup Latin karakter grubuna ait Unicode karakterlerin karıştırılmasına izin verilir. ihtisas. Örneğin, söz konusu saldırıda kullanılan "ķ" harfi Letonya alfabesinin bir parçasıdır ve Letonya dilindeki alan adları için kabul edilebilir.
Google reklam ağının filtrelerini atlamak ve kötü amaçlı yazılımları tespit edebilen botları filtrelemek için, reklam bloğunda ana bağlantı olarak bir ara katman sitesi keepassstacking.site belirlendi ve bu site, belirli kriterleri karşılayan kullanıcıları sahte alan adı olan "ķeepass"a yönlendiriyor. .bilgi".
Sahte sitenin tasarımı, resmi KeePass web sitesine benzeyecek şekilde stilize edildi, ancak program indirmelerini daha agresif bir şekilde itecek şekilde değiştirildi (resmi web sitesinin tanınması ve stili korundu). Windows platformunun indirme sayfası, geçerli bir dijital imzayla gelen kötü amaçlı kod içeren bir msix yükleyicisi sunuyordu. İndirilen dosya kullanıcının sisteminde yürütüldüyse, kullanıcının sistemine saldırmak için (örneğin, gizli verilere müdahale etmek, bir botnet'e bağlanmak veya kripto cüzdan numaralarını değiştirmek için) harici bir sunucudan kötü amaçlı bileşenler indiren bir FakeBat komut dosyası ek olarak başlatıldı. pano).
Kaynak: opennet.ru