Недавно была обнаружена атака с использованием омографов IDN, эксплуатирующая бренд Adobe. Вредоносный сайт распространял бэкдор Beta Bot, в результате чего взломанные компьютеры заражались вредоносным ПО для майнинга криптовалют и кражи данных.

Жертвами атак, использующих омографы интернационализованных доменных имен (IDN), становятся пользователи, которые не замечают в названии домена символы Unicode или ASCII, похожие на буквы латиницы. Злоумышленники заманивают потенциальных жертв на принадлежащий им вредоносный сайт и загружают на компьютер пользователя эксплойт или вредоносное ПО. Если посетители невнимательно изучают написание доменного имени, то догадаться о подделке невозможно.

Исследователь Анкит Анубав (Ankit Anubhav) сообщает, что в данном случае злоумышленники зарегистрировали сайт adoḅe[.]com (обратите внимание на символ «ḅ») и использовали его для распространения бэкдора Beta Bot под видом загрузки Flash Player.

«Отличная попытка. Кто-то не пожалел времени, чтобы разработать этот трюк», — считает Анубав.

«Лаборатория Касперского» описывает Beta Bot как троянец, который сначала отключает защитное ПО и закрывает пользователям доступ к веб-сайтам безопасности. Кроме того, с его помощью злоумышленник может удаленно взаимодействовать с зараженным компьютером и отправлять команды для перехвата форм для ввода данных.

Согласно данным Whois, сайт был зарегистрирован 17 августа на хостинге GoDaddy. Помимо этого, злоумышленнику удалось зарегистрировать сайт от лица Adobe Systems Incorporated.

Анубав сообщил Adobe о проблеме, надеясь, что софтверный гигант сможет принять меры для закрытия сайта, эксплуатирующего его бренд. На запрос комментария для Threatpost ответ от Adobe на момент публикации не пришел.

«Это нельзя назвать проблемой безопасности Adobe. Но кто-то распространяет вредоносное ПО от их имени, это им явно не понравится», — говорит Анубав.

Также Анубав объяснил, что злоумышленники могли отправлять ссылку на вредоносный сайт в письме или SMS-сообщении, где URL-адрес обычно подчеркивается, и значок под символом Unicode был бы совсем незаметным.

«Судя по тому, сколько усилий приложено, сайт явно предназначался для целевых атак, а не простой произвольной рассылки спама», — говорит Анубав.

Сама концепция атаки с использованием омографов IDN не нова. О данной проблеме заговорили в апреле, когда Google исправила уязвимость в Chrome, которая облегчала задачу злоумышленников при проведении подобных фишинговых атак.

Китайский исследователь Сюйдун Чжен (Xudong Zheng) обнаружил брешь в коде, из-за которой пользователи Chrome перенаправлялись на вредоносный сайт без предупреждения браузера об опасности. Затем их обманным путем могли заставить ввести учетные данные или другую персональную информацию.

Чжен пояснил, что из-за особенностей Punycode злоумышленники могли регистрировать домены с символами, отсутствующими в латинице. Именно это и позволяло его атаке обходить методы защиты от омографов, встроенные в такие браузеры, как Chrome и Firefox.

«К сожалению, защита от омографов в Chrome, Firefox и Opera дает сбой, если каждый символ заменен похожим из одного и того же иностранного языка, — написал Чжен в своем разоблачении 14 апреля. — Так, домен аррӏе.com, зарегистрированный как xn--80ak6aa92e.com, обходит фильтр благодаря использованию только кириллических символов».

Чжен отметил, что уязвимость Punycode присутствует и в Firefox, но Mozilla решила ее не исправлять.

Категории: Главное, Кибероборона