
Az okos rosszindulatú támadás a Punycode segítségével úgy néz ki, mint a KeePass hivatalos webhelye
A legtöbb Az interneten szörfölő felhasználóknak általában megvan a szokásuk hogy a keresés végrehajtásakor általában látogassa meg vagy használja a keresőmotor által az első helyen lévő webhelyeket. És nem is csoda, hiszen manapság a keresőmotorok a legjobb találatokat adják a keresési feltételek szerint (egy bizonyos pontig), mert számos technika létezik arra, hogy egy weboldalt egy bizonyos kritérium szerint pozicionáljunk, amit általában SEO-nak nevezünk. .
Eddig úgy tűnhet, hogy minden rendben van, és ebben a tekintetben semmi különös, de ezt emlékeznünk kellEgyes keresőmotorok általában a „hirdetést” jelenítik meg az első pozíciókban. amely elméletileg a keresési feltételekre irányul, például amikor a Google-on a Chrome-ra keresünk.
Ezekkel az eredményekkel az a probléma nem mindig a legmegfelelőbbek és hogy az erről nem tudó felhasználók általában az első pozíciókban megadott linkekről érik el, és nem találják meg, amit kerestek, vagy legrosszabb esetben nem legitim oldalakra esnek.
Ilyen a mostani eset jelentették be a Malwarebytes Labs kutatói, akik egy blogbejegyzésen keresztül jelentették be egy fiktív webhely reklámozása, amely ingyenes KeePass jelszókezelőnek adja ki magát.
Hamis webhelyet fedeztek fel rosszindulatú programokat terjeszt, és sikerül besurranni a legfelső pozíciókba a Google hirdetési hálózatán keresztül. A támadás sajátossága volt, hogy a támadók a „keepass.info” domaint használták, amelynek írásmódja első ránézésre megkülönböztethetetlen a „keepass.info” projekt hivatalos domainjétől. Amikor a Google-on a „keepass” kulcsszóra keresett, először a hamis webhely hirdetése jelent meg, a hivatalos oldalra mutató hivatkozás előtt.
Rosszindulatú KeePass-hirdetés, amelyet legitim organikus keresési eredmény követ
A felhasználók megtévesztésére egy régóta ismert adathalász technikát alkalmaztak, nemzetköziesített domainek (IDN) regisztrációja alapján, amelyek homoglifákat, latin betűknek látszó, de más jelentésű és saját Unicode kóddal rendelkező szimbólumokat tartalmaznak.
Különösen a „ķeepass.info” domain valójában „xn--eepass-vbb.info” néven van regisztrálva punycode jelöléssel, és ha alaposan megnézi a címsávban megjelenő nevet, egy pont látható a "ķ" betű alatt, amelyet a legtöbb felhasználó foltként érzékel a képernyőn. A megnyitott oldal hitelességének illúzióját erősítette, hogy a hamis oldalt HTTPS-en keresztül nyitották meg egy nemzetköziesített domainhez kapott megfelelő TLS-tanúsítvánnyal.
A visszaélések blokkolása érdekében a regisztrátorok nem engedélyezik az IDN domain regisztrációját amelyek különböző ábécé karaktereit keverik. Például nem hozhat létre fiktív apple.com domaint („xn--pple-43d.com”), ha a latin „a”-t (U+0061) cirill „a”-ra (U+0430) cseréli. A latin és az unicode karakterek keverése egy domain névben szintén le van tiltva, de van egy kivétel ez alól a korlátozás alól, amelyet a támadók alkalmaznak: megengedett a keverés olyan Unicode karakterekkel, amelyek olyan latin karakterek csoportjába tartoznak, amelyek ugyanahhoz az ábécéhez tartoznak Uralom.
Például az általunk vizsgált támadásban használt "ķ" betű a lett ábécé része, és elfogadható lett nyelvterületeken.
A Google hirdetési hálózat szűrőinek megkerülése és a rosszindulatú programokat észlelni képes robotok kiiktatása érdekében a hirdetési egység fő linkjeként egy köztes webhelyet adtunk meg a keepassstacking.site, amely a bizonyos feltételeknek megfelelő felhasználókat a fiktív «ķeepass .info domainre irányítja át. ».
A kitalált webhely kialakítását úgy stilizálták, hogy hasonlítson a hivatalos KeePass webhelyre, hanem agresszívebben tolható programletöltésekre változtatták (megőrizték a hivatalos weboldal felismerését és stílusát).
A Windows platform letöltési oldala egy rosszindulatú kódot tartalmazó msix telepítőt kínált, amely a Futurity Designs Ltd. által kiadott érvényes digitális aláírással érkezett, és nem generált figyelmeztetést az indításkor. Ha a letöltött fájl a felhasználó rendszerén futott le, akkor egy FakeBat szkript is elindult, amely rosszindulatú összetevőket töltött le egy külső szerverről, hogy megtámadja a felhasználó rendszerét (például érzékeny adatok elfogására, botnethez való csatlakozásra vagy telefonszámok cseréjére). . kriptotárca a vágólapon).
végre, ha az vagy szeretne többet megtudni róla, a részleteket a következő link.