Protinga kenkėjiška ataka naudoja Punycode, kad atrodytų kaip oficiali KeePass svetainė
Dauguma Internete naršantys vartotojai paprastai turi įprotį kad atlikdami kratą jie dažniausiai apsilankykite arba naudokitės svetainėse, esančiose pirmosiose paieškos sistemos rodomose pozicijose. Ir nenuostabu, nes šiandien paieškos sistemos siūlo geriausius rezultatus pagal paieškos kriterijus (iki tam tikro taško), nes yra daugybė metodų, leidžiančių išdėstyti tinklalapį pagal tam tikrą kriterijų, kuris apskritai vadinamas SEO. ..
Iki šiol viskas gali atrodyti gerai ir šiuo atžvilgiu nieko neįprasto, tačiau turime tai atsimintiKai kurios paieškos sistemos dažniausiai rodo „reklamą“ pirmose pozicijose. kuri teoriškai yra orientuota į paieškos kriterijus, pavyzdžiui, kai „Google“ ieškome „Chrome“.
Šių rezultatų problema yra ta ne visada yra tinkamiausi ir kad to nežinantys vartotojai dažniausiai pasiekia iš tų nuorodų, pateiktų pirmose pozicijose ir neranda to, ko ieškojo arba blogiausiu atveju patenka į neteisėtas svetaines.
Toks nesenas atvejis paskelbė Malwarebytes Labs tyrėjai, kurie dienoraščio įrašu paskelbė reklamuojame fiktyvią svetainę, kuri yra nemokama „KeePass“ slaptažodžių tvarkytuvė.
Aptikta netikra svetainė platina kenkėjiškas programas ir sugeba prasmukti į aukščiausias pozicijas paieškos sistemos per Google reklamos tinklą. Atakos ypatumas buvo užpuolikų naudojimas domenu „ķeepass.info“, kurio rašyba iš pirmo žvilgsnio nesiskiria nuo oficialaus projekto „keepass.info“ domeno. „Google“ ieškant raktinio žodžio „keepass“, suklastotas svetainės skelbimas pasirodė pirmiausia, prieš nuorodą į oficialią svetainę.
Kenkėjiškas KeePass skelbimas, po kurio pateikiamas teisėtas natūralios paieškos rezultatas
Norėdami apgauti vartotojus buvo naudojama seniai žinoma sukčiavimo technika, remiantis internacionalizuotų domenų (IDN) registracija, kuriuose yra homoglifų, simbolių, kurie atrodo kaip lotyniškos raidės, bet turi skirtingą reikšmę ir turi savo Unicode kodą.
Visų pirma domenas „ķeepass.info“ iš tikrųjų užregistruotas kaip „xn--eepass-vbb.info“ „Punycode“ užrašu ir jei atidžiai pažvelgsite į adreso juostoje rodomą pavadinimą, po raide „ķ“ pamatysite tašką, kurį dauguma vartotojų suvokia kaip taškelį ekrane. Atidarytos svetainės autentiškumo iliuziją sustiprino faktas, kad netikra svetainė buvo atidaryta per HTTPS naudojant teisingą TLS sertifikatą, gautą tarptautiniam domenui.
Norėdami blokuoti piktnaudžiavimą, registratoriai neleidžia registruoti IDN domeno kurios sumaišo skirtingų abėcėlių simbolius. Pavyzdžiui, negalite sukurti fiktyvaus domeno apple.com ("xn--pple-43d.com") pakeitę lotynišką "a" (U+0061) kirilicos "a" (U+0430). Lotyniškų ir unikodinių simbolių maišymas domeno pavadinime taip pat blokuojamas, tačiau yra šio apribojimo išimtis, kurią naudoja užpuolikai: leidžiama maišyti su Unicode simboliais, kurie priklauso lotyniškų simbolių grupei, priklausančiai tai pačiai abėcėlei. Dominija.
Pavyzdžiui, mūsų svarstomoje atakoje naudojama raidė „ķ“ yra latvių abėcėlės dalis ir yra priimtina latvių kalbos srityse.
Siekiant apeiti Google reklamos tinklo filtrus ir pašalinti robotus, galinčius aptikti kenkėjiškas programas, kaip pagrindinė reklamos skyriaus nuoroda buvo nurodyta tarpinė svetainė keepassstacking.site, kuri nukreipia tam tikrus kriterijus atitinkančius vartotojus į fiktyvų domeną «ķeepass .info ».
Išgalvotos svetainės dizainas buvo stilizuotas taip, kad būtų panašus į oficialią „KeePass“ svetainę, bet buvo pakeistas į agresyvesnį programų atsisiuntimą (išsaugotas oficialios svetainės atpažinimas ir stilius).
„Windows“ platformos atsisiuntimo puslapyje buvo pateikta „msix“ diegimo programa su kenkėjišku kodu, kuri buvo su galiojančiu „Futurity Designs Ltd“ išduotu skaitmeniniu parašu ir nesugeneravo įspėjimo paleidžiant. Jei atsisiųstas failas buvo vykdomas vartotojo sistemoje, papildomai buvo paleistas FakeBat scenarijus, kuris iš išorinio serverio atsisiuntė kenkėjiškų komponentų, kad galėtų atakuoti vartotojo sistemą (pavyzdžiui, perimti neskelbtinus duomenis, prisijungti prie botneto ar pakeisti telefono numerius). . kriptovaliutų piniginė iškarpinėje).
pagaliau jei esi nori sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.