Smart malvertisingattack använder Punycode för att se ut som KeePass officiella webbplats
Den mayoría de los Användare som surfar på Internet har vanligtvis vanan att när de gör en sökning brukar de besöka eller använda webbplatserna i de första positionerna som visas av sökmotorn. Och det är inte konstigt, eftersom sökmotorer idag erbjuder de bästa resultaten enligt sökkriterierna (till en viss punkt) eftersom det finns ett stort antal tekniker för att kunna positionera en webbsida för ett visst kriterium, kallat SEO i allmänhet ...
Fram till denna punkt kan allt verka bra och inget ovanligt i detta avseende, men vi måste komma ihåg detVissa sökmotorer visar vanligtvis "reklam" i de första positionerna. som i teorin är inriktat på sökkriterierna, till exempel när vi på Google söker på Chrome.
Problemet med dessa resultat är det är inte alltid de mest lämpliga och att för användare utan kännedom om detta, de vanligtvis kommer åt från de länkar som finns i de första positionerna och inte hittar det de letar efter eller i värsta fall faller in på icke-legitima webbplatser.
Så är det senaste fallet meddelat av Malwarebytes Labs forskare, som genom ett blogginlägg meddelade främja en fiktiv webbplats som utger sig som den kostnadsfria KeePass-lösenordshanteraren.
Falsk sida upptäckt distribuerar skadlig programvara och lyckas smyga sig in i toppositionerna av sökmotorn via Googles annonsnätverk. En egenhet med attacken var angriparnas användning av domänen "ķeepass.info", vars stavning vid första anblicken inte kan skiljas från den officiella domänen för "keepass.info"-projektet. När du sökte efter sökordet "keepass" på Google, dök den falska webbplatsens annons upp först, före länken till den officiella webbplatsen.
Skadlig KeePass-annons följt av ett legitimt organiskt sökresultat
För att lura användare en sedan länge känd nätfisketeknik användes, baserat på registrering av internationaliserade domäner (IDN) som innehåller homoglyfer, symboler som ser ut som latinska bokstäver, men har en annan betydelse och har en egen Unicode-kod.
I synnerhet domänen "ķeepass.info" är faktiskt registrerad som "xn--eepass-vbb.info" i punycode-notation och om du tittar noga på namnet som visas i adressfältet kan du se en prick under bokstaven "ķ", som de flesta användare uppfattar som en fläck på skärmen. Illusionen av äkthet hos den öppnade sajten förstärktes av det faktum att den falska sajten öppnades över HTTPS med ett korrekt TLS-certifikat erhållet för en internationaliserad domän.
För att blockera missbruk tillåter inte registratorer IDN-domänregistrering som blandar tecken från olika alfabet. Till exempel kan du inte skapa en fiktiv domän apple.com ("xn--pple-43d.com") genom att ersätta det latinska "a" (U+0061) med det kyrilliska "a" (U+0430). Att blanda latinska och Unicode-tecken i ett domännamn är också blockerat, men det finns ett undantag från denna begränsning, som används av angripare: blandning är tillåten med Unicode-tecken som tillhör en grupp latinska tecken som tillhör samma alfabet i Herravälde.
Till exempel är bokstaven "ķ" som används i attacken vi överväger en del av det lettiska alfabetet och är acceptabelt för lettiska språkdomäner.
För att kringgå filtren i Googles annonsnätverk och eliminera robotar som kan upptäcka skadlig programvara, har en mellansida keeppassstacking.site specificerats som huvudlänk i annonsenheten, som omdirigerar användare som uppfyller vissa kriterier till den fiktiva domänen «ķeepass .info ».
Designen av den fiktiva webbplatsen stiliserades för att likna den officiella KeePass-webbplatsen, men ändrades till mer aggressivt push-programnedladdningar (igenkänning och stil på den officiella webbplatsen bevarades).
Nedladdningssidan för Windows-plattformen erbjöd ett msix-installationsprogram med skadlig kod, som kom med en giltig digital signatur utfärdad av Futurity Designs Ltd och genererade ingen varning vid start. Om den nedladdade filen kördes på användarens system, lanserades dessutom ett FakeBat-skript, som laddade ner skadliga komponenter från en extern server för att attackera användarens system (till exempel för att fånga upp känslig data, ansluta till ett botnät eller ersätta telefonnummer) . kryptoplånbok på urklipp).
äntligen om du är det intresserad av att veta mer om det, Du kan kontrollera detaljerna i följande länk.