圈小蛙
威胁行为者以伪装知名品牌的方式来欺骗用户是众所周知的。根据Malwarebytes的新的报告,该公司观察到了一个对KeePass开源密码管理器进行了极具欺骗性的恶意Google广告。虽然品牌冒名顶替在当今时代已经司空见惯,但这次攻击使用了额外的欺骗手法。
威胁行为者注册了一个使用特殊字符编码(Punycode)的仿冒国际化域名(ķeepass.info),以伪装成真正的KeePass网站(keepass.info)。不仅域名几乎一模一样,而且这两个网站长的几乎一模一样,极具迷惑性。
Malwarebytes已经向Google报告了此事件,目前Google已经取缔了该广告。
仿冒KeePass的恶意广告
当用户在Google搜索“keepass”时,会出现这则恶意广告,该广告特别具有欺骗性,因为它使用了官方KeePass的标志、URL,并出现在KeePass官方网站的搜索结果之前。让用户觉得这是KeePass官方投放的谷歌广告。因此仅仅通过看广告,用户无法知道它是恶意的。
Malwarebytes称,点击该广告的用户将先被筛选,通过一个旨在过滤沙箱、机器人和未被视为真正受害者的伪装服务进行重定向。威胁行为者在keepasstacking[.]site上建立了一个临时域名,用于执行条件性筛选,将符合要求的用户重定向到最终目标。
ķeepass.info
伪造的域名使用了Punycode编码的“ķ”,这是一种特殊的编码方式,用于将Unicode字符转换为ASCII。对于可能希望验证自己是否进入正确网站的用户来说,这种欺骗是成功的。
虽然几乎不容易察觉,但在这个假的“k”下面有一个小的点。可以通过工具进行测试转换,将国际化域名xn--eepass-vbb[.]info转换为ķeepass[.]info。
伪造的网站链接到恶意的软件下载
虽然欺骗站点不是真正网站的精确复制,但仍然看起来仍然非常像,令人信服。想要下载KeePass的受害者将会获得一个带有数字签名的恶意.msix安装程序,其中包含了属于FakeBat恶意软件家族的恶意PowerShell代码,该脚本将与恶意软件的命令和控制服务器通信。
更复杂的威胁
尽管多年来,威胁行为者一直在使用国际化编码(Punycode)的域名进行钓鱼,但该事件证明了通过搜索引擎的恶意广告中开展品牌冒名顶替仍然有效。对于终端用户来说,最重要的是,要仔细留意从哪里下载程序,以及应该避免从哪里下载。
更多信息
广告域名/重定向域名:
keepasstacking.site
假KeePass网站:
xn--eepass-vbb.info
恶意KeePass软件下载网址:
xn--eepass-vbb[.]info/download/KeePass-2.55-Setup.msix
C2域名:
756-ads-info.xyz
Payload:
refreshmet.com/Package.tar.gpg