Malwarebytes Labs کے محققین نے گوگل ایڈورٹائزنگ نیٹ ورک کے ذریعے مفت پاس ورڈ مینیجر KeePass کے لیے ایک جعلی ویب سائٹ کی تشہیر کی نشاندہی کی ہے، جو میلویئر تقسیم کرتی ہے۔ حملے کی ایک خاصیت حملہ آوروں کی طرف سے "ķeepass.info" ڈومین کا استعمال تھا، جو پہلی نظر میں "keepass.info" پروجیکٹ کے آفیشل ڈومین سے ہجے میں الگ نہیں ہے۔ گوگل پر کلیدی لفظ "کیپاس" تلاش کرنے پر، جعلی سائٹ کا اشتہار سرکاری سائٹ کے لنک سے پہلے پہلے نمبر پر رکھا گیا تھا۔
صارفین کو دھوکہ دینے کے لیے، ایک طویل عرصے سے مشہور فشنگ تکنیک کا استعمال کیا گیا، جس کی بنیاد پر بین الاقوامی ڈومینز (IDN) کی رجسٹریشن کی گئی جس میں ہوموگلیفس - ایسے حروف جو لاطینی حروف سے ملتے جلتے نظر آتے ہیں، لیکن ان کے معنی مختلف ہیں اور ان کا اپنا یونی کوڈ کوڈ ہے۔ خاص طور پر، ڈومین "ķeepass.info" دراصل پنی کوڈ نوٹیشن میں "xn--eepass-vbb.info" کے طور پر رجسٹرڈ ہے اور اگر آپ ایڈریس بار میں دکھائے گئے نام کو قریب سے دیکھیں تو آپ کو خط کے نیچے ایک نقطہ نظر آتا ہے۔ ķ”، جسے زیادہ تر صارفین نے اسکرین پر ایک دھبے کی طرح سمجھا ہے۔ کھلی سائٹ کی صداقت کا وہم اس حقیقت سے بڑھا کہ جعلی سائٹ HTTPS کے ذریعے بین الاقوامی ڈومین کے لیے حاصل کردہ درست TLS سرٹیفکیٹ کے ساتھ کھولی گئی۔
غلط استعمال کو روکنے کے لیے، رجسٹرار IDN ڈومینز کی رجسٹریشن کی اجازت نہیں دیتے جو مختلف حروف تہجی کے حروف کو ملاتے ہیں۔ مثال کے طور پر، ایک ڈمی ڈومین apple.com ("xn--pple-43d.com") لاطینی "a" (U+0061) کو Cyrillic "a" (U+0430) سے بدل کر نہیں بنایا جا سکتا۔ ڈومین نام میں لاطینی اور یونیکوڈ حروف کو ملانا بھی مسدود ہے، لیکن اس پابندی میں ایک استثناء ہے، جس کا حملہ آور فائدہ اٹھاتے ہیں - ایک ہی حروف تہجی سے تعلق رکھنے والے لاطینی حروف کے گروپ سے تعلق رکھنے والے یونیکوڈ حروف کے ساتھ اختلاط کی اجازت ہے۔ ڈومین مثال کے طور پر، زیر نظر حملے میں استعمال ہونے والا حرف "ķ" لیٹوین حروف تہجی کا حصہ ہے اور لیٹوین زبان میں ڈومینز کے لیے قابل قبول ہے۔
گوگل ایڈورٹائزنگ نیٹ ورک کے فلٹرز کو نظرانداز کرنے اور میلویئر کا پتہ لگانے والے بوٹس کو فلٹر کرنے کے لیے، ایک انٹرمیڈیٹ انٹرلیئر سائٹ keepassstacking.site کو ایڈورٹائزنگ بلاک میں مرکزی لنک کے طور پر متعین کیا گیا تھا، جو مخصوص معیار پر پورا اترنے والے صارفین کو ڈمی ڈومین "ķeepass" پر ری ڈائریکٹ کرتا ہے۔ معلومات"۔
ڈمی سائٹ کے ڈیزائن کو آفیشل KeePass ویب سائٹ سے مشابہت کے لیے اسٹائلائز کیا گیا تھا، لیکن اسے مزید جارحانہ طور پر پش پروگرام ڈاؤن لوڈز میں تبدیل کر دیا گیا تھا (آفیشل ویب سائٹ کی پہچان اور انداز محفوظ تھا)۔ ونڈوز پلیٹ فارم کے لیے ڈاؤن لوڈ پیج نے ایک msix انسٹالر کی پیشکش کی ہے جس میں بدنیتی پر مبنی کوڈ ہے جو ایک درست ڈیجیٹل دستخط کے ساتھ آیا ہے۔ اگر ڈاؤن لوڈ کی گئی فائل کو صارف کے سسٹم پر عمل میں لایا گیا تھا، تو ایک FakeBat اسکرپٹ بھی شروع کی گئی تھی، جس میں صارف کے سسٹم پر حملہ کرنے کے لیے کسی بیرونی سرور سے نقصان دہ اجزاء کو ڈاؤن لوڈ کیا گیا تھا (مثال کے طور پر، خفیہ ڈیٹا کو روکنا، بوٹ نیٹ سے جڑنا، یا کرپٹو والیٹ نمبروں کو تبدیل کرنا۔ کلپ بورڈ)۔
ماخذ: opennet.ru