Prvi rezultat nije uvijek najbolji, otkrili su lažnu KeePass stranicu

phishing stranica

Pametan malvertizerski napad koristi Punycode da izgleda kao službena web stranica KeePass

Većina Korisnici koji surfuju internetom obično imaju tu naviku da kada vrše pretragu, obično posjetite ili koristite stranice na prvim pozicijama koje prikazuje pretraživač. I nije ni čudo, jer danas pretraživači nude najbolje rezultate prema kriterijumima pretrage (do određene tačke) jer postoji veliki broj tehnika da se web stranica može pozicionirati po određenom kriterijumu koji se uopšteno zove SEO .

Do sada sve može izgledati dobro i ništa neobično po ovom pitanju, ali to moramo zapamtitiNeki pretraživači obično prikazuju "oglašavanje" na prvim pozicijama. koji je u teoriji orijentiran na kriterije pretraživanja, na primjer kada na Google-u tražimo Chrome.

Problem sa ovim rezultatima je to nisu uvek najprikladniji i da korisnici koji o tome ne znaju, obično pristupaju sa onih linkova navedenih na prvim pozicijama i ne pronađu ono što su tražili ili u najgorem slučaju padnu na nelegitimne stranice.

Takav je nedavni slučaj objavili su istraživači Malwarebytes Labs-a, koji su putem blog posta objavili promoviranje fiktivne stranice koja se predstavlja kao besplatni KeePass menadžer lozinki.

Otkrivena lažna stranica distribuira zlonamjerni softver i uspijeva da se ušunja na čelne pozicije pretraživača putem Google reklamne mreže. Posebnost napada bila je upotreba od strane napadača domena “ķeepass.info”, čiji se pravopis na prvi pogled ne razlikuje od zvaničnog domena projekta “keepass.info”. Prilikom traženja ključne riječi “keepass” na Google-u, prvo se pojavio oglas lažne stranice, prije linka na službenu stranicu.

Detekcija lažnih stranica

Zlonamjeran KeePass oglas praćen legitimnim organskim rezultatom pretraživanja

Da obmane korisnike korištena je odavno poznata phishing tehnika, baziran na registraciji internacionaliziranih domena (IDN) koji sadrže homoglife, simbole koji izgledaju kao latinična slova, ali imaju drugačije značenje i imaju svoj Unicode kod.

Posebno domena “ķeepass.info” je zapravo registrirana kao “xn--eepass-vbb.info” u punycode notaciji i ako pažljivo pogledate ime prikazano u adresnoj traci, možete vidjeti tačku ispod slova "ķ", koju većina korisnika doživljava kao mrlju na ekranu. Iluzija autentičnosti otvorenog sajta pojačana je činjenicom da je lažna stranica otvorena preko HTTPS-a sa ispravnim TLS sertifikatom dobijenim za internacionalizovanu domenu.

Da bi blokirali zloupotrebu, registrari ne dozvoljavaju registraciju IDN domena koji miješaju znakove iz različitih abeceda. Na primjer, ne možete kreirati fiktivnu domenu apple.com (“xn--pple-43d.com”) zamjenom latiničnog “a” (U+0061) ćiriličnim “a” (U+0430). Miješanje latiničnih i Unicode znakova u nazivu domene je također blokirano, ali postoji izuzetak od ovog ograničenja, koje koriste napadači: miješanje je dozvoljeno s Unicode znakovima koji pripadaju grupi latiničnih znakova koji pripadaju istoj abecedi u Dominion.

Na primjer, slovo "ķ" korišteno u napadu koji razmatramo dio je latvijskog alfabeta i prihvatljivo je za domene latvijskog jezika.

Kako bi se zaobišli filteri Google reklamne mreže i eliminirali roboti koji mogu otkriti zlonamjerni softver, kao glavni link u oglasnoj jedinici određena je srednja stranica keepassstacking.site, koja korisnike koji ispunjavaju određene kriterije preusmjerava na fiktivni domen «ķeepass .info ».

Dizajn izmišljenog sajta je stilizovan tako da liči na službenu KeePass web stranicu, ali je promijenjeno u agresivnije push preuzimanja programa (sačuvani su prepoznatljivost i stil službene web stranice).

Stranica za preuzimanje za Windows platformu nudila je msix instalacijski program sa zlonamjernim kodom, koji je došao s važećim digitalnim potpisom izdanim od strane Futurity Designs Ltd i nije generirao upozorenje pri pokretanju. Ako je preuzeta datoteka izvršena na korisnikovom sistemu, dodatno je pokrenuta FakeBat skripta, koja je preuzimala zlonamjerne komponente sa vanjskog servera kako bi napala sistem korisnika (na primjer, presretala osjetljive podatke, povezala se na botnet ili zamijenila telefonske brojeve) kripto novčanik u međuspremniku).

konačno ako jesi zainteresovani da saznaju više o tome, detalje možete provjeriti u sljedeći link.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.