„Може да ги зачувате сите ваши лозинки во една база на податоци. KeePass е опен сорс менаџер за лозинки.“ – ова е една од рекламите кои ги хостира Google и кој навидум водат до сервис кој ќе ни го олесни управувањето и помнењето на лозинки. За жал, наместо до вистински сервис, рекламата ги носи жртвите кои ќе ја отворат до малициозна страница. Страницата е речиси идентична копија на оригиналот и изгледа доволно легитимно да ги измами жртвите дека се на keepass.info.
Дури и урлто на страницата наликува дека е легитимно, но за жал не е. Наместо на официјалната страница жртвите се пренасочуваат на страница со речиси идентично урл – ķeepass[.]info. Иако на прв поглед изгледа идентично, наместо почетното „k“ малициозниот домен започнува со малечка точка под буквата па сега е „ķ“.
Нападот е овозможен од „Punycode“, метод кој овозможува претставување на Unicode карактери со ASCII карактери. Ова е корисно за интернационализирано име на домен да се појави на интернет. На пример имиња на веб-сајтови како „résumé.com“ содржат не-ASCII карактери. Ова може да биде претставено како „xn--rsum-bpad.com“.
Во актуелниот случај со Keepass, Punycode со кој е претставено интернационализираното име на доменот (IDN) e „xn--eepass-vbb.info“. Овој тип на напади со интернационализирано име не е нов и се користи со години за фишинг напади. Сепак методот функционира и се користи за лажно претставување на брендови. Она што е почудно, но и застрашувачко е дека нападот успеал да го измами Google, кој вели дека ригорозно ги прегледува рекламите.
Рекламите биле презентирани на корисници од 14 октомври до 18 октомври. Дополнително за рекламите платила компанијата Digital Eagle, која е верификувана од Google, пишува Ars Technica.
Како функционира нападот/измамата
Корисникот посетува страница на која се презентираат реклами. Страницата испраќа податоци до сервисот за реклами кој враќа најсоодветна реклама. Во случајот тоа е реклама која нѐ префрла на малициозна веб страница.
Ако рекламата нѐ заинтересира и ја отвориме, најпрво сме префрлени на „cloaking“-сервис кој се користи за филтрирање на sandbox или бот, од вистинска жртва. Напаѓачот користи привремен домен keepasstacking[.]site пред да го префрли корисникот на финалната дестинација, објаснува Џером Сегура од Malwarebyte.
Засега нема податоци дека самата посета на страницата ќе инсталира малициозен софтвер. Сепак, ако корисникот се обиде да го преземе KeePass софтверот наместо ова ќе добие малициозен .msix пакет. Инсталацијата открива малициозен PowerShell код од FakeBat фамилијата. Скриптата комуницира со серверот за управување и контрола и отвара канали за дополнително преземање на малициозен код.
Што значи ова за корисниците
За корисниците советите се исти како и досега. Бидете исклучително внимателни, проверете го добро доменот на кој сe наоѓате. Очигледно „Punicode“ овозможува и пософистицирано криење на името, па потребно е подобро внимание.
За жал, напаѓачите подобро ги кријат нападите преку реклами што отвора нови опасности за корисниците. Ова секако значи дека корисниците мора да бидат уште повнимателни за локациите од кои го преземаат софтверот. За компаниите наједноставно решение за ова е креирање на локални, сопствени складишта од кои ќе може да се презема софтверот кој најчесто го користат.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
