Slimme malvertising-aanval gebruikt Punycode om op de officiële KeePass-website te lijken
De mayoría de los Gebruikers die op internet surfen, hebben meestal de gewoonte dat ze bij het uitvoeren van een zoekopdracht meestal bezoek of gebruik de sites op de eerste posities die door de zoekmachine worden weergegeven. En dat is geen wonder, want tegenwoordig bieden zoekmachines de beste resultaten op basis van de zoekcriteria (tot op zekere hoogte), omdat er een groot aantal technieken zijn om een webpagina te kunnen positioneren voor een bepaald criterium, in het algemeen SEO genoemd. .
Tot nu toe lijkt alles misschien prima en niets bijzonders in dit opzicht, maar dat moeten we niet vergetenSommige zoekmachines tonen gewoonlijk ‘adverteren’ op de eerste posities. die in theorie gericht is op de zoekcriteria, bijvoorbeeld wanneer we op Google naar Chrome zoeken.
Het probleem met deze resultaten is dat zijn niet altijd de meest geschikte en dat gebruikers zonder kennis hiervan meestal toegang krijgen via de links op de eerste posities en niet vinden wat ze zochten of in het ergste geval op niet-legitieme sites terechtkomen.
Dat is het recente geval aangekondigd door onderzoekers van Malwarebytes Labs, die dit via een blogpost hebben aangekondigd het promoten van een fictieve site die zich voordoet als de gratis KeePass-wachtwoordbeheerder.
Valse site ontdekt verspreidt malware en weet de topposities binnen te dringen van de zoekmachine via het advertentienetwerk van Google. Een bijzonderheid van de aanval was het gebruik door de aanvallers van het domein “ķeepass.info”, waarvan de spelling op het eerste gezicht niet te onderscheiden is van het officiële domein van het project “keepass.info”. Bij het zoeken naar het trefwoord “keepass” op Google verscheen de advertentie van de nepsite eerst, vóór de link naar de officiële site.
Schadelijke KeePass-advertentie gevolgd door een legitiem organisch zoekresultaat
Om gebruikers te misleiden er werd gebruik gemaakt van een al lang bekende phishing-techniek, gebaseerd op de registratie van geïnternationaliseerde domeinen (IDN) die homogliefen bevatten, symbolen die op Latijnse letters lijken, maar een andere betekenis hebben en hun eigen Unicode-code hebben.
En in het bijzonder, het domein “ķeepass.info” is feitelijk geregistreerd als “xn--eepass-vbb.info” in punycode-notatie en als je goed kijkt naar de naam die in de adresbalk wordt weergegeven, zie je een punt onder de letter "ķ", die de meeste gebruikers waarnemen als een stipje op het scherm. De illusie van authenticiteit van de geopende site werd versterkt door het feit dat de nepsite via HTTPS werd geopend met een correct TLS-certificaat verkregen voor een geïnternationaliseerd domein.
Om misbruik te blokkeren, staan registrars geen IDN-domeinregistratie toe waarin karakters uit verschillende alfabetten worden gecombineerd. U kunt bijvoorbeeld geen fictief domein apple.com (“xn--pple-43d.com”) maken door de Latijnse “a” (U+0061) te vervangen door de Cyrillische “a” (U+0430). Ook het mixen van Latijnse en Unicode-tekens in een domeinnaam wordt geblokkeerd, maar op deze beperking bestaat een uitzondering, die door aanvallers wordt gebruikt: het mixen is toegestaan met Unicode-tekens die behoren tot een groep Latijnse tekens die tot hetzelfde alfabet behoren in het Heerschappij.
De letter "ķ" die wordt gebruikt in de aanval die we overwegen, maakt bijvoorbeeld deel uit van het Letse alfabet en is acceptabel voor Letse taaldomeinen.
Om de filters van het advertentienetwerk van Google te omzeilen en robots te elimineren die malware kunnen detecteren, is een tussenliggende site keepassstacking.site gespecificeerd als de hoofdlink in de advertentie-eenheid, die gebruikers die aan bepaalde criteria voldoen omleidt naar het fictieve domein «ķeepass .info ».
Het ontwerp van de fictieve site is gestileerd om op de officiële KeePass-website te lijken, maar werd gewijzigd om programmadownloads agressiever te pushen (herkenning en stijl van de officiële website bleven behouden).
De downloadpagina voor het Windows-platform bood een msix-installatieprogramma met kwaadaardige code, dat werd geleverd met een geldige digitale handtekening uitgegeven door Futurity Designs Ltd en geen waarschuwing genereerde bij het opstarten. Als het gedownloade bestand op het systeem van de gebruiker werd uitgevoerd, werd bovendien een FakeBat-script gelanceerd, dat kwaadaardige componenten van een externe server downloadde om het systeem van de gebruiker aan te vallen (bijvoorbeeld om gevoelige gegevens te onderscheppen, verbinding te maken met een botnet of telefoonnummers te vervangen) .crypto-portemonnee op klembord).
eindelijk als je bent geïnteresseerd om er meer over te weten, u kunt de details in het volgende link.