Un intel·ligent atac de publicitat maliciosa utilitza Punycode per assemblar-se al lloc web oficial de KeePass
La majoria dels usuaris que naveguen a la xarxa, solen tenir el costum que en fer una cerca, solen visitar o utilitzar els llocs a les primeres posicions que desplega el cercador. I és que no és per a més, ja que avui dia els cercadors ofereixen els millors resultats d'acord amb el criteri de cerca (fins a cert punt) perquè hi ha una gran quantitat de tècniques per poder posicionar una pàgina web per a cert criteri, digui's SEO en general .
Fins aquest punt tot pot semblar bé i res fora del normal en aquest aspecte, però cal recordar quèe alguns cercadors solen mostrar en les primeres posicions «publicitat» que en teoria està orientada al criteri de cerca, per exemple quan a Google busquem Chrome.
El problema amb aquests resultats, és que no sempre són els més adequats i que per a usuaris sense coneixement d'això, solen accedir des d'aquests enllaços proporcionats a les primeres posicions i no trobar el que buscaven o en el pitjor dels casos caure en llocs no legítims.
Aquest és el cas recent que van donar a conèixer els investigadors de Malwarebytes Labs, que mitjançant una publicació de bloc, van donar a conèixer la promoció dun lloc fictici que es feia passar per ladministrador de contrasenyes gratuït KeePass.
Es va descobrir el lloc fals distribueix malware i aconsegueixo colar-se a les primeres posicions del cercador a través de la xarxa publicitària de Google. Una peculiaritat de l'atac va ser l'ús per part dels atacants del domini “eeepass.info”, l'ortografia del qual a primera vista no es distingeix del domini oficial del projecte “keepass.info”. Quan cerqueu la paraula clau “keepass” a Google, l'anunci del lloc fals apareixia en primer lloc, abans de l'enllaç al lloc oficial.
Anunci maliciós de KeePass seguit d'un resultat de cerca orgànic legítim
Per enganyar els usuaris es va utilitzar una tècnica de phishing coneguda des de fa molt de temps, basada en el registre de dominis internacionalitzats (IDN) que contenen homoglifs, símbols que sassemblen a les lletres llatines, però tenen un significat diferent i tenen el seu propi codi Unicode.
En particular, el domini «ķeepass.info» en realitat està registrat com a «xn--eepass-vbb.info» en notació punycode i si observeu detingudament el nom que es mostra a la barra d'adreces, podeu veure un punt sota la lletra » ķ», que la majoria dels usuaris perceben com una mota a la pantalla. La il·lusió d'autenticitat del lloc obert es va veure reforçada pel fet que el lloc fals es va obrir mitjançant HTTPS amb un certificat TLS correcte obtingut per a un domini internacionalitzat.
Per bloquejar l'abús, els registradors no permeten el registre de dominis IDN que barregin caràcters de diferents alfabets. Per exemple, no es pot crear un domini fictici apple.com (“xn--pple-43d.com”) substituint la “a” llatina (U+0061) amb la “a” ciríl·lica (U+0430). La barreja de caràcters llatins i Unicode en un nom de domini també està bloquejada, però hi ha una excepció a aquesta restricció, que utilitzen els atacants: es permet la barreja amb caràcters Unicode que pertanyen a un grup de caràcters llatins que pertanyen al mateix alfabet a el domini.
Per exemple, la lletra «ķ» utilitzada en l'atac que estem considerant és part de l'alfabet letó i és acceptable per a dominis en idioma letó.
Per evitar els filtres de la xarxa publicitària de Google i eliminar els robots que poden detectar codi maliciós (malware), com a enllaç principal al bloc publicitari s'ha especificat un lloc intermedi keepassstacking.site, que redirigeix als usuaris que compleixen determinats criteris al domini fictici «ķeepass .info».
El disseny del lloc fictici va ser estilitzat per assemblar-se al lloc web oficial de KeePass, però es va canviar per impulsar de manera més agressiva les descàrregues de programes (es van conservar el reconeixement i l'estil del lloc web oficial).
La pàgina de descàrrega per a la plataforma Windows oferia un instal·lador msix amb codi maliciós, que venia amb una signatura digital vàlida emesa per Futurity Designs Ltd i no generava una advertència a l'inici. Si el fitxer descarregat es va executar al sistema de l'usuari, s'iniciava addicionalment un script FakeBat, que descarregava components maliciosos d'un servidor extern per atacar el sistema de l'usuari (per exemple, per interceptar dades confidencials, connectar-se a una botnet o reemplaçar números de cartera criptogràfica al porta-retalls).
Finalment si estàs interessat a poder conèixer més sobre això, pots consultar els detalls al següent enllaç.