Älykäs malvertising-hyökkäys käyttää Punycodea näyttämään KeePassin viralliselta verkkosivustolta
Mayoría de los Internetissä surffaavilla käyttäjillä on yleensä tapana että hakua tehdessään he yleensä vierailla tai käyttää hakukoneen ensimmäisissä paikoissa olevia sivustoja. Eikä ihme, sillä nykyään hakukoneet tarjoavat parhaat tulokset hakukriteerien mukaan (tiettyyn pisteeseen asti), koska on olemassa suuri joukko tekniikoita, joilla verkkosivu voidaan sijoittaa tietyn kriteerin mukaan, jota kutsutaan yleisesti SEO:ksi. .
Tähän asti kaikki saattaa näyttää hyvältä eikä mitään epätavallista tässä suhteessa, mutta meidän on muistettava seJotkut hakukoneet näyttävät yleensä "mainokset" ensimmäisillä paikoilla. joka teoriassa on suunnattu hakuehtoihin, esimerkiksi kun Googlesta etsimme Chromea.
Näiden tulosten ongelma on se eivät aina ole sopivimpia ja että käyttäjät, jotka eivät tiedä tästä, pääsevät yleensä ensimmäisissä paikoissa olevista linkeistä eivätkä löydä etsimäänsä tai pahimmassa tapauksessa joutuvat ei-laillisille sivustoille.
Tällainen on viimeaikainen tapaus ilmoittivat Malwarebytes Labsin tutkijat, jotka ilmoittivat blogitekstin kautta mainostaa kuvitteellista sivustoa, joka esiintyy ilmaisena KeePass-salasanojen hallinnassa.
Väärä sivusto löydetty levittää haittaohjelmia ja onnistuu livahtamaan kärkisijoille hakukoneesta Googlen mainosverkoston kautta. Hyökkäyksen erikoisuus oli se, että hyökkääjät käyttivät verkkotunnusta ”ķeepass.info”, jonka kirjoitusasu ei ensisilmäyksellä eroa ”keepass.info”-projektin virallisesta verkkotunnuksesta. Kun haettiin Googlesta avainsanalla "keepass", väärennetyn sivuston mainos ilmestyi ensimmäisenä ennen viralliselle sivustolle johtavaa linkkiä.
Haitallinen KeePass-mainos, jota seuraa oikea orgaaninen hakutulos
Käyttäjien huijaamiseksi käytettiin pitkään tunnettua phishing-tekniikkaa, perustuu kansainvälistyneiden verkkotunnusten (IDN) rekisteröintiin, jotka sisältävät homoglyfejä, symboleja, jotka näyttävät latinalaisista kirjaimista, mutta joilla on eri merkitys ja omat Unicode-koodinsa.
Erityisesti verkkotunnus "ķeepass.info" on itse asiassa rekisteröity nimellä "xn--eepass-vbb.info" punycode-merkinnällä ja jos katsot tarkasti osoiterivillä näkyvää nimeä, näet "ķ"-kirjaimen alla pisteen, jonka useimmat käyttäjät pitävät täplänä näytöllä. Avatun sivuston aitouden illuusiota vahvisti se, että väärennössivusto avattiin HTTPS:n kautta kansainväliselle verkkotunnukselle hankitulla oikealla TLS-sertifikaatilla.
Väärinkäytön estämiseksi rekisterinpitäjät eivät salli IDN-verkkotunnuksen rekisteröintiä jotka sekoittavat eri aakkosten merkkejä. Et voi esimerkiksi luoda kuvitteellista verkkotunnusta apple.com ("xn--pple-43d.com") korvaamalla latinalainen "a" (U+0061) kyrillisellä "a":lla (U+0430). Latinalaisten ja Unicode-merkkien sekoittaminen verkkotunnuksen nimessä on myös estetty, mutta tähän rajoitukseen on poikkeus, jota hyökkääjät käyttävät: sekoittaminen on sallittua Unicode-merkkien kanssa, jotka kuuluvat latinalaisten merkkien ryhmään, jotka kuuluvat samaan aakkostoon verkkotunnuksessa. Valta.
Esimerkiksi harkitsemassamme hyökkäyksessä käytetty kirjain "ķ" on osa latvialaista aakkostoa ja se on hyväksyttävä latvian kielen verkkotunnuksissa.
Googlen mainosverkoston suodattimien ohittamiseksi ja haittaohjelmia havaitsevien robottien poistamiseksi mainontayksikön päälinkiksi on määritetty välisivusto keepassstacking.site, joka ohjaa tietyt kriteerit täyttävät käyttäjät kuvitteelliseen verkkotunnukseen «ķeepass .info ».
Kuvitteellinen sivusto tyyliteltiin muistuttamaan virallista KeePass-verkkosivustoa, mutta se muutettiin aggressiivisemmin työntämään ohjelmien latauksia (virallisen verkkosivuston tunnistaminen ja tyyli säilytettiin).
Windows-alustan lataussivulla oli haitallista koodia sisältävä msix-asennusohjelma, jonka mukana tuli Futurity Designs Ltd:n myöntämä voimassa oleva digitaalinen allekirjoitus, eikä se varoittanut käynnistyksen yhteydessä. Jos ladattu tiedosto suoritettiin käyttäjän järjestelmässä, käynnistettiin lisäksi FakeBat-skripti, joka latasi ulkoiselta palvelimelta haittakomponentteja hyökätäkseen käyttäjän järjestelmään (esimerkiksi siepatakseen arkaluontoisia tietoja, muodostaakseen yhteyden botnet-verkkoon tai korvatakseen puhelinnumeroita) . kryptolompakko leikepöydälle).
vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat seuraava linkki.