Malwarebytes Labs'tan araştırmacılar, Google reklam ağı üzerinden kötü amaçlı yazılım dağıtan ücretsiz şifre yöneticisi KeePass için sahte bir web sitesinin tanıtımını tespit etti. Saldırının bir özelliği, saldırganların ilk bakışta yazımı "keepass.info" projesinin resmi alanından ayırt edilemeyen "ķeepass.info" alanını kullanmasıydı. Google'da "keepass" anahtar kelimesi arandığında, resmi siteye verilen bağlantıdan önce sahte sitenin reklamı ilk sırada yer aldı.
Kullanıcıları aldatmak için, uluslararasılaştırılmış kayıt işlemlerine dayalı, iyi bilinen bir kimlik avı tekniği kullanıldı. etki alanları (IDN), Latin harflerine benzeyen ancak farklı bir anlama ve kendi Unicode koduna sahip semboller olan homoglifler içerir. Özellikle, "ķeepass.info" alan adı, punycode gösteriminde aslında "xn--eepass-vbb.info" olarak kayıtlıdır. Adres çubuğunda görüntülenen isme yakından bakarsanız, "ķ" harfinin altında bir nokta olduğunu fark edeceksiniz; çoğu kullanıcı bunu ekrandaki bir toz zerresi olarak algılar. Sahte siteye, uluslararasılaştırılmış alan adı için elde edilen geçerli bir TLS sertifikasıyla HTTPS üzerinden erişilmesi, gerçeklik yanılsamasını güçlendirmiştir.
Kötüye kullanımı engellemek için, kayıt şirketleri farklı alfabelerdeki karakterlerin karıştırıldığı IDN alan adlarının kaydına izin vermez. Örneğin, apple.com ("xn--pple-43d.com") sahte alan adı, Latince "a" (U+0061) Kiril alfabesindeki "a" (U+0430) ile değiştirilerek oluşturulamaz. Bir alan adında Latin ve Unicode karakterlerin karıştırılması da engellenir, ancak bu kısıtlamanın bir istisnası vardır ve bu da saldırganların yararlandığı bir durumdur - aynı alfabeye ait bir grup Latin karakter grubuna ait Unicode karakterlerin karıştırılmasına izin verilir. ihtisas. Örneğin, söz konusu saldırıda kullanılan "ķ" harfi Letonya alfabesinin bir parçasıdır ve Letonya dilindeki alan adları için kabul edilebilir.
Google reklam ağının filtrelerini atlamak ve kötü amaçlı yazılımları tespit edebilen botları filtrelemek için, reklam bloğunda ana bağlantı olarak bir ara katman sitesi keepassstacking.site belirlendi ve bu site, belirli kriterleri karşılayan kullanıcıları sahte alan adı olan "ķeepass"a yönlendiriyor. .bilgi".
Sahte web sitesinin tasarımı, resmi KeePass web sitesine benzeyecek şekilde yapılmıştı, ancak indirmeleri daha agresif bir şekilde teşvik edecek şekilde değiştirilmişti (resmi web sitesinin tanınabilirliği ve stili korunmuştu). Platformun indirme sayfasında Windows Kötü amaçlı kod içeren ve geçerli bir dijital imzaya sahip bir msix yükleyici sunuldu. İndirilen dosya kullanıcının sisteminde çalıştırılırsa, FakeBat adlı bir komut dosyası başlatılarak dosya harici bir kaynaktan indirilecekti. sunucu Kullanıcının sistemine saldırmak için tasarlanmış kötü amaçlı bileşenler (örneğin, gizli verileri ele geçirmek, bir botnet'e bağlanmak veya panodaki kripto cüzdan numaralarını değiştirmek).
Kaynak: opennet.ru
