Most Uživatelé, kteří surfují na internetu, mají obvykle tento zvyk že při provádění vyhledávání obvykle navštívit nebo použít stránky na prvních pozicích zobrazených vyhledávačem. A není divu, protože dnes vyhledávače nabízejí nejlepší výsledky podle vyhledávacích kritérií (do určitého bodu), protože existuje velké množství technik, jak umístit webovou stránku podle určitého kritéria, obecně nazývaného SEO ..
Až do této chvíle se může zdát vše v pořádku a nic neobvyklého v tomto ohledu, ale musíme si to pamatovatNěkteré vyhledávače obvykle zobrazují „reklamu“ na prvních pozicích. který je teoreticky orientován na vyhledávací kritéria, například když na Google hledáme Chrome.
Problém těchto výsledků je v tom nejsou vždy nejvhodnější a že uživatelé, kteří to neznají, obvykle přistupují z odkazů uvedených na prvních pozicích a nenajdou to, co hledali, nebo v nejhorším případě spadnou na nelegitimní stránky.
Takový je nedávný případ oznámili výzkumníci Malwarebytes Labs, kteří prostřednictvím příspěvku na blogu oznámili propagace fiktivního webu vydávajícího se za bezplatného správce hesel KeePass.
Byl objeven falešný web distribuuje malware a dokáže se propašovat na přední pozice vyhledávače prostřednictvím reklamní sítě Google. Zvláštností útoku bylo použití domény „ķeepass.info“, jejíž pravopis je na první pohled k nerozeznání od oficiální domény projektu „keepass.info“, útočníky. Při vyhledávání klíčového slova „keepass“ na Googlu se reklama na falešnou stránku objevila jako první, před odkazem na oficiální stránku.
Ke klamání uživatelů byla použita dlouho známá technika phishingu, založené na registraci internacionalizovaných domén (IDN), které obsahují homoglyfy, symboly, které vypadají jako latinská písmena, ale mají jiný význam a mají svůj vlastní kód Unicode.
Zejména doména „ķeepass.info“ je ve skutečnosti registrována jako „xn--eepass-vbb.info“ v notaci punycode a pokud se podíváte pozorně na jméno zobrazené v adresním řádku, můžete pod písmenem „ķ“ vidět tečku, kterou většina uživatelů vnímá jako skvrnu na obrazovce. Iluzi autenticity otevřené stránky umocnil fakt, že falešná stránka byla otevřena přes HTTPS se správným TLS certifikátem získaným pro internacionalizovanou doménu.
Aby bylo možné blokovat zneužití, registrátoři nepovolují registraci domén IDN které kombinují znaky z různých abeced. Nemůžete například vytvořit fiktivní doménu apple.com („xn--pple-43d.com“) nahrazením latinského „a“ (U+0061) azbukou „a“ (U+0430). Míchání znaků latinky a Unicode v názvu domény je také blokováno, ale z tohoto omezení existuje výjimka, kterou používají útočníci: smíšení je povoleno se znaky Unicode, které patří do skupiny znaků latinky, které patří do stejné abecedy v The Dominion.
Například písmeno „ķ“ použité v útoku, který zvažujeme, je součástí lotyšské abecedy a je přijatelné pro lotyšské jazykové domény.
Aby bylo možné obejít filtry reklamní sítě Google a odstranit roboty, kteří dokážou detekovat malware, byl jako hlavní odkaz v reklamní jednotce specifikován přechodný web keepassstacking.site, který přesměrovává uživatele splňující určitá kritéria na fiktivní doménu «ķeepass .info ».
Design fiktivního webu byl stylizován tak, aby připomínal oficiální web KeePass, ale byl změněn na agresivnější stahování programů (rozpoznání a styl oficiálního webu byly zachovány).
Stránka ke stažení pro platformu Windows nabízela instalátor msix se škodlivým kódem, který byl dodán s platným digitálním podpisem vydaným společností Futurity Designs Ltd a negeneroval varování při spuštění. Pokud byl stažený soubor spuštěn v systému uživatele, byl dodatečně spuštěn skript FakeBat, který stáhl škodlivé komponenty z externího serveru za účelem útoku na systém uživatele (například za účelem zachycení citlivých dat, připojení k botnetu nebo nahrazení telefonních čísel) kryptopeněženka ve schránce).
konečně jestli jsi zájem se o tom dozvědět více, můžete zkontrolovat podrobnosti v následující odkaz.