Malwarebytes Labs tadqiqotchilari Google reklama tarmog‘i orqali zararli dasturlarni tarqatuvchi bepul parol menejeri KeePass uchun soxta veb-saytni reklama qilishni aniqladi. Hujumning o'ziga xos xususiyati tajovuzkorlar tomonidan "ķeepass.info" domenidan foydalanish bo'lib, uni birinchi qarashda "keepass.info" loyihasining rasmiy domenidan ajratib bo'lmaydi. Google’da “keepass” kalit so‘zini qidirishda soxta saytning reklamasi birinchi o‘rinda, rasmiy saytga havoladan oldin joylashtirilgan.
Foydalanuvchilarni aldash uchun gomogliflarni o'z ichiga olgan xalqaro domenlarni (IDN) ro'yxatdan o'tkazishga asoslangan uzoq vaqtdan beri ma'lum bo'lgan fishing usuli ishlatilgan - lotin harflariga o'xshash, ammo boshqa ma'noga ega va o'zlarining unicode kodiga ega belgilar. Xususan, “ķeepass.info” domeni aslida punycode yozuvida “xn--eepass-vbb.info” sifatida ro‘yxatdan o‘tgan va agar manzil satrida ko‘rsatilgan nomga diqqat bilan qarasangiz, “harfi ostida nuqta ko‘rishingiz mumkin. Koʻpchilik foydalanuvchilar tomonidan qabul qilingan ķ” ekrandagi dogʻga oʻxshaydi. Ochiq saytning haqiqiyligi haqidagi illyuziya soxta sayt xalqaro domen uchun olingan to'g'ri TLS sertifikati bilan HTTPS orqali ochilganligi bilan kuchaytirildi.
Suiiste'mollikni bloklash uchun ro'yxatga oluvchilar turli alifbolardagi belgilarni aralashtirgan IDN domenlarini ro'yxatdan o'tkazishga ruxsat bermaydi. Masalan, lotincha “a” (U+43) ni kirill alifbosi “a” (U+0061) bilan almashtirish orqali apple.com (“xn--pple-0430d.com”) qo‘g‘irchoq domenini yaratib bo‘lmaydi. Domen nomida lotin va Unicode belgilarini aralashtirish ham bloklangan, ammo bu cheklovdan istisno mavjud, bu esa tajovuzkorlar bundan foydalanadi - bir xil alifboga mansub lotin belgilar guruhiga mansub Unicode belgilar bilan aralashtirishga ruxsat beriladi. domen. Masalan, ko‘rib chiqilayotgan hujumda qo‘llanilgan “ķ” harfi Latviya alifbosining bir qismi bo‘lib, Latviya tilidagi domenlar uchun maqbuldir.
Google reklama tarmog'i filtrlarini chetlab o'tish va zararli dasturlarni aniqlay oladigan botlarni filtrlash uchun reklama blokidagi asosiy havola sifatida keepassstacking.site oraliq qatlamli sayti belgilangan bo'lib, u ma'lum mezonlarga javob beradigan foydalanuvchilarni "ķeepass" soxta domeniga yo'naltiradi. .info”.
Soxta saytning dizayni rasmiy KeePass veb-saytiga o'xshash tarzda stilize qilingan, ammo dasturlarni yuklab olishni yanada agressiv ravishda o'zgartirgan (rasmiy veb-saytning tan olinishi va uslubi saqlanib qolgan). Windows platformasi uchun yuklab olish sahifasi haqiqiy raqamli imzo bilan kelgan zararli kodni o'z ichiga olgan msix o'rnatuvchisini taklif qildi. Agar yuklab olingan fayl foydalanuvchi tizimida bajarilgan bo'lsa, FakeBat skripti qo'shimcha ravishda ishga tushirildi, u foydalanuvchi tizimiga hujum qilish uchun zararli komponentlarni yuklab oldi (masalan, maxfiy ma'lumotlarni ushlab turish, botnetga ulanish yoki kripto hamyon raqamlarini almashtirish uchun). almashish buferi).
Manba: opennet.ru