Malwarebytes Labs 的研究人员发现,免费密码管理器 KeePass 的虚假网站通过 Google 广告网络进行宣传,该网站传播恶意软件。 这次攻击的一个特点是攻击者使用了“ķeepass.info”域,乍一看,该域在拼写上与“keepass.info”项目的官方域没有区别。 当在谷歌上搜索关键字“keepass”时,假冒网站的广告被放在第一位,在官方网站的链接之前。
为了欺骗用户,使用了一种众所周知的网络钓鱼技术,该技术基于包含同形文字的国际化域名 (IDN) 的注册,这些同形文字是看起来与拉丁字母相似的字符,但具有不同的含义,并且有自己的 unicode 代码。 特别是,域名“ķeepass.info”实际上以 punycode 表示法注册为“xn--eepass-vbb.info”,如果仔细观察地址栏中显示的名称,您可以看到字母“下面有一个点”大多数用户认为“ķ”就像屏幕上的一个斑点。 由于该虚假网站是通过 HTTPS 打开的,并使用为国际化域名获得的正确 TLS 证书,这一事实增强了开放网站真实性的错觉。
为了阻止滥用,注册服务商不允许注册混合不同字母表字符的 IDN 域。 例如,无法通过将拉丁语“a”(U+43) 替换为西里尔语“a”(U+0061) 来创建虚拟域 apple.com (“xn--pple-0430d.com”)。 在域名中混合使用拉丁字符和 Unicode 字符也会被阻止,但此限制有一个例外,这就是攻击者所利用的——在域名中允许混合属于同一字母表的一组拉丁字符的 Unicode 字符。领域。 例如,所考虑的攻击中使用的字母“ķ”是拉脱维亚字母的一部分,并且对于拉脱维亚语言的域来说是可接受的。
为了绕过Google广告网络的过滤器并过滤掉可以检测恶意软件的机器人,中间层站点keepassstacking.site被指定为广告块中的主链接,它将满足特定条件的用户重定向到虚拟域“ķeepass” 。信息”。
虚拟网站的设计风格类似于 KeePass 官方网站,但改为更积极地推送程序下载(保留了官方网站的识别和风格)。 Windows 平台的下载页面提供了一个 msix 安装程序,其中包含带有有效数字签名的恶意代码。 如果下载的文件在用户系统上执行,则会额外启动 FakeBat 脚本,从外部服务器下载恶意组件来攻击用户系统(例如拦截机密数据、连接僵尸网络、替换加密钱包号码等)。剪贴板)。
来源: opennet.ru