Un inteligente ataque de publicidad maliciosa utiliza Punycode para parecerse al sitio web oficial de KeePass
La mayoría de los usuarios que navegan en la red, suelen tener la costumbre de que al realizar una búsqueda, suelen visitar o utilizar los sitios en las primeras posiciones que despliega el buscador. Y es que no es para más, ya que hoy en día los buscadores ofrecen los mejores resultados acordes al criterio de búsqueda (hasta cierto punto) porque existen una gran cantidad de técnicas para poder posicionar una página web para cierto criterio, dígase SEO en general.
Hasta este punto todo puede parecer bien y nada fuera de lo normal en este aspecto, pero hay que recordar que algunos buscadores suelen mostrar en las primeras posiciones «publicidad» que en teoría está orientada al criterio de búsqueda, por ejemplo cuando en Google buscamos Chrome.
El problema con estos resultados, es que no siempre son los más adecuados y que para usuarios sin conocimiento de esto, suelen acceder desde esos enlaces proporcionados en las primeras posiciones y no encontrar lo que buscaban o en el peor de los casos caer en sitios no legítimos.
Tal es el caso reciente que dieron a conocer los investigadores de Malwarebytes Labs, quienes mediante una publicación de blog, dieron a conocer la promoción de un sitio ficticio que se hacia pasar por el administrador de contraseñas gratuito KeePass.
Se descubrió el sitio falso distribuye malware y logro colarse en las primeras posiciones del buscador a través de la red publicitaria de Google. Una peculiaridad del ataque fue el uso por parte de los atacantes del dominio “ķeepass.info”, cuya ortografía a primera vista no se distingue del dominio oficial del proyecto “ keepass.info ”. Al buscar la palabra clave “keepass” en Google, el anuncio del sitio falso aparecía en primer lugar, antes del enlace al sitio oficial.
Anuncio malicioso de KeePass seguido de un resultado de búsqueda orgánico legítimo
Para engañar a los usuarios se utilizó una técnica de phishing conocida desde hace mucho tiempo, basada en el registro de dominios internacionalizados (IDN) que contienen homoglifos, símbolos que se parecen a las letras latinas, pero tienen un significado diferente y tienen su propio código Unicode.
En particular, el dominio «ķeepass.info» en realidad está registrado como «xn--eepass-vbb.info» en notación punycode y si observa detenidamente el nombre que se muestra en la barra de direcciones, puede ver un punto debajo de la letra » ķ», que la mayoría de los usuarios perciben como una mota en la pantalla. La ilusión de autenticidad del sitio abierto se vio reforzada por el hecho de que el sitio falso se abrió a través de HTTPS con un certificado TLS correcto obtenido para un dominio internacionalizado.
Para bloquear el abuso, los registradores no permiten el registro de dominios IDN que mezclen caracteres de diferentes alfabetos. Por ejemplo, no se puede crear un dominio ficticio apple.com (“xn--pple-43d.com”) reemplazando la “a” latina (U+0061) con la “a” cirílica (U+0430). La mezcla de caracteres latinos y Unicode en un nombre de dominio también está bloqueada, pero hay una excepción a esta restricción, que utilizan los atacantes: se permite la mezcla con caracteres Unicode que pertenecen a un grupo de caracteres latinos que pertenecen al mismo alfabeto en el dominio.
Por ejemplo, la letra «ķ» utilizada en el ataque que estamos considerando es parte del alfabeto letón y es aceptable para dominios en idioma letón.
Para evitar los filtros de la red publicitaria de Google y eliminar los robots que pueden detectar malware, como enlace principal en el bloque publicitario se ha especificado un sitio intermedio keepassstacking.site, que redirige a los usuarios que cumplen determinados criterios al dominio ficticio «ķeepass.info».
El diseño del sitio ficticio fue estilizado para parecerse al sitio web oficial de KeePass, pero se cambió para impulsar de manera más agresiva las descargas de programas (se conservaron el reconocimiento y el estilo del sitio web oficial).
La página de descarga para la plataforma Windows ofrecía un instalador msix con código malicioso, que venía con una firma digital válida emitida por Futurity Designs Ltd y no generaba una advertencia al inicio. Si el archivo descargado se ejecutó en el sistema del usuario, se iniciaba adicionalmente un script FakeBat, que descargaba componentes maliciosos de un servidor externo para atacar el sistema del usuario (por ejemplo, para interceptar datos confidenciales, conectarse a una botnet o reemplazar números de billetera criptográfica en el portapapeles).
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.