Malwarebytes Labs 的研究人員發現,免費密碼管理器 KeePass 的虛假網站透過 Google 廣告網路宣傳,該網站傳播惡意軟體。 這次攻擊的一個特點是攻擊者使用了「ķeepass.info」域,乍一看,該域在拼字上與「keepass.info」項目的官方域沒有區別。 當在Google上搜尋關鍵字「keepass」時,假網站的廣告被放在第一位,在官方網站的連結之前。
為了欺騙用戶,使用了一種眾所周知的網路釣魚技術,該技術基於包含同形文字的國際化域名(IDN) 的註冊,這些同形文字是看起來與拉丁字母相似的字符,但具有不同的含義,並且有自己的unicode 代碼。 特別是,網域名稱“ķeepass.info”實際上以 punycode 表示法註冊為“xn--eepass-vbb.info”,如果您仔細觀察網址列中顯示的名稱,您可以看到字母“下面有一個點”大多數用戶認為「ķ」就像是螢幕上的一個斑點。 由於該虛假網站是透過 HTTPS 開啟的,並使用為國際化網域獲得的正確 TLS 證書,這一事實增強了開放網站真實性的錯覺。
為了阻止濫用,註冊服務商不允許註冊混合不同字母字元的 IDN 網域。 例如,無法透過將拉丁語「a」(U+43) 替換為西里爾語「a」(U+0061) 來建立虛擬域 apple.com (“xn--pple-0430d.com”)。 在網域中混合使用拉丁字元和 Unicode 字元也會被阻止,但此限制有一個例外,這就是攻擊者所利用的——在網域中允許混合屬於同一字母表的一組拉丁字元的 Unicode 字元。領域。 例如,所考慮的攻擊中使用的字母“ķ”是拉脫維亞字母的一部分,並且對於拉脫維亞語言的領域來說是可接受的。
為了繞過Google廣告網路的過濾器並過濾掉可以檢測惡意軟體的機器人,中間層站點keepassstacking.site被指定為廣告塊中的主鏈接,它將滿足特定條件的用戶重定向到虛擬域“ķeepass” .資訊".
虛擬網站的設計風格類似於 KeePass 官方網站,但改為更積極地推送程式下載(保留了官方網站的識別和風格)。 Windows 平台的下載頁面提供了一個 msix 安裝程序,其中包含具有有效數位簽章的惡意程式碼。 如果下載的檔案在使用者係統上執行,則會額外啟動 FakeBat 腳本,從外部伺服器下載惡意元件來攻擊使用者係統(例如攔截機密資料、連接殭屍網路、替換加密錢包號碼等)。剪貼簿)。
來源: opennet.ru