巧妙的恶意广告攻击使用 Punycode 看起来像 KeePass 官方网站
最 上网的用户通常都有这样的习惯 在执行搜索时,他们通常 访问或使用搜索引擎显示在第一位的网站。 这也就不足为奇了,因为今天的搜索引擎根据搜索条件(在某种程度上)提供最好的结果,因为有大量的技术能够根据特定的标准定位网页,通常称为 SEO ..
到目前为止,一切似乎都很好,在这方面没有什么异常,但我们必须记住,一些搜索引擎通常会在第一个位置显示“广告”。 理论上,它是面向搜索条件的,例如,当我们在 Google 上搜索 Chrome 时。
这些结果的问题在于 并不总是最合适的 对于不了解这一点的用户来说,他们通常从第一个位置提供的链接进行访问,但找不到他们想要的内容,或者在最坏的情况下落在非合法网站上。
最近的案例就是这样 Malwarebytes Labs 研究人员宣布,他们通过博客文章宣布 宣传冒充免费 KeePass 密码管理器的虚构网站。
发现假冒网站 传播恶意软件并设法潜入最高位置 通过谷歌广告网络的搜索引擎。 这次攻击的一个特点是攻击者使用了“ķeepass.info”域名,乍一看,该域名的拼写与“keepass.info”项目的官方域名没有什么区别。 当在谷歌上搜索关键字“keepass”时,假冒网站的广告首先出现,然后才是官方网站的链接。
恶意 KeePass 广告后跟合法的自然搜索结果
欺骗用户 使用了一种众所周知的网络钓鱼技术, 基于国际化域名 (IDN) 的注册,其中包含同形文字、看起来像拉丁字母的符号,但具有不同的含义并拥有自己的 Unicode 代码。
特别是, 域名“ķeepass.info”实际上注册为“xn--eepass-vbb.info” 在 punycode 表示法中,如果仔细观察地址栏中显示的名称,您可以看到字母“ķ”下面有一个点,大多数用户将其视为屏幕上的一个斑点。 假冒网站是通过 HTTPS 打开的,并且具有为国际化域名获得的正确 TLS 证书,这一事实强化了所打开网站的真实性假象。
为了阻止滥用,注册商不允许 IDN 域名注册 混合来自不同字母表的字符。 例如,您无法通过将拉丁语“a”(U+43) 替换为西里尔语“a”(U+0061) 来创建虚构域 apple.com (“xn--pple-0430d.com”)。 在域名中混合拉丁字符和 Unicode 字符也会被阻止,但此限制有一个例外,攻击者会使用该限制:允许与属于一组拉丁字符的 Unicode 字符混合,这些拉丁字符在域名中属于同一字母表。统治。
例如,我们正在考虑的攻击中使用的字母“ķ”是拉脱维亚字母的一部分,并且对于拉脱维亚语言域来说是可接受的。
为了绕过 Google 广告网络的过滤器并消除可以检测恶意软件的机器人,已将中间站点 keepassstacking.site 指定为广告单元中的主链接,该站点将满足特定条件的用户重定向到虚构域 «ķeepass .info »。
该虚构网站的设计风格类似于 KeePass 官方网站,但改为更积极地推送程序下载(保留了官网的识别度和风格)。
Windows平台的下载页面提供了带有恶意代码的msix安装程序,该安装程序带有Futurity Designs Ltd颁发的有效数字签名,并且在启动时不会生成警告。 如果下载的文件在用户系统上执行,则会额外启动 FakeBat 脚本,该脚本从外部服务器下载恶意组件来攻击用户系统(例如,拦截敏感数据、连接到僵尸网络或替换电话号码) .剪贴板上的加密钱包)。
最后,如果你是 有兴趣了解更多关于它的信息, 您可以在中查看详细信息 以下链接。