最初の結果が常に最良であるとは限りません。偽の KeePass サイトが検出されました

Darkcrizt

4分

フィッシングサイト

Punycode を使用して KeePass 公式 Web サイトに見せかける巧妙なマルバタイジング攻撃

最も インターネットをサーフィンするユーザーは通常、次のような習慣を持っています。 検索を実行するとき、通常は 検索エンジンによって最初に表示されるサイトにアクセスまたは使用する。 それも不思議ではありません。今日の検索エンジンは、検索基準に従って (ある程度までは) 最良の結果を提供します。これは、一般に SEO と呼ばれる、特定の基準に従って Web ページを配置できるようにするためのテクニックが多数あるためです。 . .

この点に関しては、ここまではすべて順調で、何も異常がないように見えるかもしれませんが、次のことを覚えておかなければなりません。一部の検索エンジンでは通常、最初の位置に「広告」が表示されます。 これは理論上、検索条件に合わせて指定されます。たとえば、Google で Chrome を検索する場合です。

これらの結果の問題点は、 常に最適であるとは限りません そして、このことを知らないユーザーは、通常、最初の位置に提供されているリンクからアクセスし、探しているものが見つからないか、最悪の場合は非正規のサイトに落ちてしまいます。

最近の事件もそうだよ Malwarebytes Labsの研究者がブログ投稿を通じて発表した。 無料の KeePass パスワード マネージャーを装った架空のサイトを宣伝します。

偽サイト発見 マルウェアを配布し、なんとか上位に食い込む Google 広告ネットワークを通じて検索エンジンに提供されます。 この攻撃の特徴は、攻撃者がドメイン「ķeepass.info」を使用したことであり、そのスペルは一見すると「keepass.info」プロジェクトの公式ドメインと区別がつきません。 Googleで「keepass」というキーワードを検索すると、公式サイトへのリンクより先に偽サイトの広告が表示された。

偽サイトの検出

悪意のある KeePass 広告の後に正規のオーガニック検索結果が表示される

ユーザーを騙すため 古くから知られているフィッシング手法が使用され、 ラテン文字に似ているが意味が異なり、独自の Unicode コードを持つシンボルであるホモグリフを含む国際化ドメイン (IDN) の登録に基づいています。

特に ドメイン「ķeepass.info」は実際には「xn--eepass-vbb.info」として登録されます。 Punycode 表記で、アドレス バーに表示される名前をよく見ると、文字「ķ」の下に点が表示されます。これは、ほとんどのユーザーが画面上の点として認識します。 開かれたサイトが本物であるという錯覚は、偽のサイトが国際化ドメイン用に取得された正しい TLS 証明書を使用して HTTPS 経由で開かれたという事実によって強化されました。

悪用を防ぐため、レジストラは IDN ドメインの登録を許可しません 異なるアルファベットの文字を混ぜ合わせたもの。 たとえば、ラテン語の「a」(U+43) をキリル文字の「a」(U+0061) に置き換えて、架空のドメイン apple.com (「xn--pple-0430d.com」) を作成することはできません。 ドメイン名内でのラテン文字と Unicode 文字の混合もブロックされますが、この制限には例外があり、攻撃者によって使用されます。つまり、同じアルファベットに属するラテン文字のグループに属する Unicode 文字との混合は許可されます。ドミニオン。

たとえば、私たちが検討している攻撃で使用されている文字「ķ」はラトビア語のアルファベットの一部であり、ラトビア語の言語ドメインでは許容されます。

Google 広告ネットワークのフィルターをバイパスし、マルウェアを検出できるロボットを排除するために、中間サイト keepassstacking.site が広告ユニットのメイン リンクとして指定されており、特定の基準を満たすユーザーを架空のドメイン «ķeepass .info にリダイレクトします。 »。

架空のサイトのデザインは、KeePass の公式 Web サイトに似せて様式化されました。、しかし、プログラムのダウンロードをより積極的にプッシュするように変更されました(公式 Web サイトの認識とスタイルは維持されました)。

Windows プラットフォームのダウンロード ページでは、悪意のあるコードを含む msix インストーラーが提供されていました。このインストーラーには、Futurity Designs Ltd が発行した有効なデジタル署名が付属しており、起動時に警告は生成されませんでした。 ダウンロードされたファイルがユーザーのシステムで実行されると、さらに FakeBat スクリプトが起動され、外部サーバーから悪意のあるコンポーネントをダウンロードしてユーザーのシステムを攻撃します (たとえば、機密データの傍受、ボットネットへの接続、電話番号の置き換えなど)。 .クリップボード上の暗号ウォレット)。

最後にあなたが それについてもっと知りたい、 あなたはで詳細を確認することができます 次のリンク。