Le premier résultat n'est pas toujours le meilleur, ils ont détecté un faux site KeePass

Darkcrizt

Minutes 4

site de phishing

Une attaque de publicité malveillante intelligente utilise Punycode pour ressembler au site officiel de KeePass

Plus Les utilisateurs qui surfent sur Internet ont généralement l'habitude que lors d'une recherche, ils visiter ou utiliser les sites dans les premières positions affichées par le moteur de recherche. Et ce n'est pas étonnant, puisqu'aujourd'hui les moteurs de recherche offrent les meilleurs résultats selon les critères de recherche (jusqu'à un certain point) car il existe un grand nombre de techniques pour pouvoir positionner une page web pour un certain critère, appelé SEO en général. . .

Jusqu'à présent, tout peut sembler bien et rien d'extraordinaire à cet égard, mais nous devons nous rappeler queCertains moteurs de recherche affichent généralement le terme « publicité » en première position. qui en théorie est orienté vers les critères de recherche, par exemple lorsque sur Google on recherche Chrome.

Le problème avec ces résultats est que ne sont pas toujours les plus appropriés et que pour les utilisateurs qui n'en ont pas connaissance, ils accèdent généralement à partir des liens fournis dans les premières positions et ne trouvent pas ce qu'ils cherchaient ou, dans le pire des cas, tombent sur des sites non légitimes.

Tel est le cas récent annoncé par les chercheurs de Malwarebytes Labs, qui, à travers un article de blog, ont annoncé faisant la promotion d'un site fictif se faisant passer pour le gestionnaire de mots de passe gratuit KeePass.

Faux site découvert distribue des logiciels malveillants et parvient à se faufiler dans les premières positions du moteur de recherche via le réseau publicitaire de Google. Une particularité de l'attaque était l'utilisation par les attaquants du domaine « ķeepass.info », dont l'orthographe à première vue ne se distingue pas du domaine officiel du projet « keepass.info ». Lors d'une recherche du mot-clé « keepass » sur Google, l'annonce du faux site apparaissait en premier, avant le lien vers le site officiel.

Détection de faux sites

Annonce KeePass malveillante suivie d'un résultat de recherche organique légitime

Pour tromper les utilisateurs une technique de phishing connue de longue date a été utilisée, basé sur l'enregistrement de domaines internationalisés (IDN) contenant des homoglyphes, des symboles qui ressemblent à des lettres latines, mais ont une signification différente et possèdent leur propre code Unicode.

En particulier, le domaine « ķeepass.info » est en fait enregistré sous le nom « xn--eepass-vbb.info » en notation punycode et si vous regardez attentivement le nom affiché dans la barre d'adresse, vous pouvez voir un point sous la lettre « ķ », que la plupart des utilisateurs perçoivent comme un point sur l'écran. L'illusion d'authenticité du site ouvert a été renforcée par le fait que le faux site a été ouvert via HTTPS avec un certificat TLS correct obtenu pour un domaine internationalisé.

Pour bloquer les abus, les bureaux d'enregistrement n'autorisent pas l'enregistrement de domaines IDN qui mélangent des caractères de différents alphabets. Par exemple, vous ne pouvez pas créer un domaine fictif apple.com (« xn--pple-43d.com ») en remplaçant le « a » latin (U+0061) par le « a » cyrillique (U+0430). La mezcla de caracteres latinos y Unicode en un nombre de dominio también está bloqueada, pero hay una excepción a esta restricción, que utilizan los atacantes: se permite la mezcla con caracteres Unicode que pertenecen a un grupo de caracteres latinos que pertenecen al mismo alfabeto en le nom de domaine.

Par exemple, la lettre « ķ » utilisée dans l’attaque que nous envisageons fait partie de l’alphabet letton et est acceptable pour les domaines linguistiques lettons.

Pour contourner les filtres du réseau publicitaire de Google et éliminer les robots capables de détecter les logiciels malveillants, un site intermédiaire keepassstacking.site a été spécifié comme lien principal dans l'unité publicitaire, qui redirige les utilisateurs répondant à certains critères vers le domaine fictif «ķeepass .info ».

La conception du site fictif a été stylisée pour ressembler au site officiel de KeePass., mais a été modifié pour pousser plus agressivement les téléchargements de programmes (la reconnaissance et le style du site officiel ont été préservés).

La page de téléchargement de la plate-forme Windows proposait un programme d'installation msix avec un code malveillant, accompagné d'une signature numérique valide émise par Futurity Designs Ltd et ne générait pas d'avertissement au démarrage. Si le fichier téléchargé était exécuté sur le système de l'utilisateur, un script FakeBat était également lancé, qui téléchargeait des composants malveillants depuis un serveur externe pour attaquer le système de l'utilisateur (par exemple, pour intercepter des données sensibles, se connecter à un botnet ou remplacer des numéros de téléphone). .portefeuille crypto dans le presse-papiers).

enfin si tu es intéressé à en savoir plus, vous pouvez vérifier les détails dans le lien suivant


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.