Az első eredmény nem mindig a legjobb, hamis KeePass oldalt észleltek

adathalász webhely

Az okos rosszindulatú támadás a Punycode segítségével úgy néz ki, mint a KeePass hivatalos webhelye

A legtöbb Az interneten szörfölő felhasználóknak általában megvan a szokásuk hogy a keresés végrehajtásakor általában látogassa meg vagy használja a keresőmotor által az első helyen lévő webhelyeket. És nem is csoda, hiszen manapság a keresőmotorok a legjobb találatokat adják a keresési feltételek szerint (egy bizonyos pontig), mert számos technika létezik arra, hogy egy weboldalt egy bizonyos kritérium szerint pozicionáljunk, amit általában SEO-nak nevezünk. .

Eddig úgy tűnhet, hogy minden rendben van, és ebben a tekintetben semmi különös, de ezt emlékeznünk kellEgyes keresőmotorok általában a „hirdetést” jelenítik meg az első pozíciókban. amely elméletileg a keresési feltételekre irányul, például amikor a Google-on a Chrome-ra keresünk.

Ezekkel az eredményekkel az a probléma nem mindig a legmegfelelőbbek és hogy az erről nem tudó felhasználók általában az első pozíciókban megadott linkekről érik el, és nem találják meg, amit kerestek, vagy legrosszabb esetben nem legitim oldalakra esnek.

Ilyen a mostani eset jelentették be a Malwarebytes Labs kutatói, akik egy blogbejegyzésen keresztül jelentették be egy fiktív webhely reklámozása, amely ingyenes KeePass jelszókezelőnek adja ki magát.

Hamis webhelyet fedeztek fel rosszindulatú programokat terjeszt, és sikerül besurranni a legfelső pozíciókba a Google hirdetési hálózatán keresztül. A támadás sajátossága volt, hogy a támadók a „keepass.info” domaint használták, amelynek írásmódja első ránézésre megkülönböztethetetlen a „keepass.info” projekt hivatalos domainjétől. Amikor a Google-on a „keepass” kulcsszóra keresett, először a hamis webhely hirdetése jelent meg, a hivatalos oldalra mutató hivatkozás előtt.

Hamis webhely észlelése

Rosszindulatú KeePass-hirdetés, amelyet legitim organikus keresési eredmény követ

A felhasználók megtévesztésére egy régóta ismert adathalász technikát alkalmaztak, nemzetköziesített domainek (IDN) regisztrációja alapján, amelyek homoglifákat, latin betűknek látszó, de más jelentésű és saját Unicode kóddal rendelkező szimbólumokat tartalmaznak.

Különösen a „ķeepass.info” domain valójában „xn--eepass-vbb.info” néven van regisztrálva punycode jelöléssel, és ha alaposan megnézi a címsávban megjelenő nevet, egy pont látható a "ķ" betű alatt, amelyet a legtöbb felhasználó foltként érzékel a képernyőn. A megnyitott oldal hitelességének illúzióját erősítette, hogy a hamis oldalt HTTPS-en keresztül nyitották meg egy nemzetköziesített domainhez kapott megfelelő TLS-tanúsítvánnyal.

A visszaélések blokkolása érdekében a regisztrátorok nem engedélyezik az IDN domain regisztrációját amelyek különböző ábécé karaktereit keverik. Például nem hozhat létre fiktív apple.com domaint („xn--pple-43d.com”), ha a latin „a”-t (U+0061) cirill „a”-ra (U+0430) cseréli. A latin és az unicode karakterek keverése egy domain névben szintén le van tiltva, de van egy kivétel ez alól a korlátozás alól, amelyet a támadók alkalmaznak: megengedett a keverés olyan Unicode karakterekkel, amelyek olyan latin karakterek csoportjába tartoznak, amelyek ugyanahhoz az ábécéhez tartoznak Uralom.

Például az általunk vizsgált támadásban használt "ķ" betű a lett ábécé része, és elfogadható lett nyelvterületeken.

A Google hirdetési hálózat szűrőinek megkerülése és a rosszindulatú programokat észlelni képes robotok kiiktatása érdekében a hirdetési egység fő linkjeként egy köztes webhelyet adtunk meg a keepassstacking.site, amely a bizonyos feltételeknek megfelelő felhasználókat a fiktív «ķeepass .info domainre irányítja át. ».

A kitalált webhely kialakítását úgy stilizálták, hogy hasonlítson a hivatalos KeePass webhelyre, hanem agresszívebben tolható programletöltésekre változtatták (megőrizték a hivatalos weboldal felismerését és stílusát).

A Windows platform letöltési oldala egy rosszindulatú kódot tartalmazó msix telepítőt kínált, amely a Futurity Designs Ltd. által kiadott érvényes digitális aláírással érkezett, és nem generált figyelmeztetést az indításkor. Ha a letöltött fájl a felhasználó rendszerén futott le, akkor egy FakeBat szkript is elindult, amely rosszindulatú összetevőket töltött le egy külső szerverről, hogy megtámadja a felhasználó rendszerét (például érzékeny adatok elfogására, botnethez való csatlakozásra vagy telefonszámok cseréjére). . kriptotárca a vágólapon).

végre, ha az vagy szeretne többet megtudni róla, a részleteket a következő link.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.