Новости Мошенничество с KeePass: какие последствия ждут жертв вредоносной рекламы?

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.789
Репутация
62.390
Реакции
276.954
RUB
0
Невнимательность пользователя может привести к потере конфиденциальных данных.

image



Специалисты ИБ-компании Malwarebytes обнаружили рекламную кампанию Google Ads, которая направляет пользователей на поддельный сайт KeePass. Для маскировки своих злонамеренных действий злоумышленники используют метод Punycode, чтобы их вредоносный домен выглядел как официальный домен KeePass.

Google долгое время боролась с такими мошенническими рекламными кампаниями, где угрозы появляются в виде рекламы над результатами поиска. Более того, Google Ads может быть использована для показа легитимного домена KeePass в рекламе, что затрудняет обнаружение угрозы даже для опытных пользователей.

Злоумышленники используют Punycode – метод кодирования для представления Unicode-символов в формат ASCII. Такой способ позволяет преобразовывать домены, написанные не на латинице (кириллица, арабский, греческий и др.), чтобы сделать их понятными для DNS.

В данном случае хакеры использовали Punycode «xn—eepass-vbb.info», что транслируется в «ķeepass.info» – почти идентично настоящему домену. Такая маленькая визуальная ошибка вряд ли будет замечена пользователем, но это явный признак использования такой техники.


Настоящий (слева) и поддельный сайт (справа) KeePass

На поддельном сайте расположены ссылки для загрузки, ведущие к файлу 'KeePass-2.55-Setup.msix', который содержит скрипт PowerShell, связанный с вредоносным загрузчиком FakeBat. Хотя Google удалила первоначальную рекламу с Punycode, были обнаружены дополнительные рекламные объявления KeePass, связанные с той же злонамеренной кампанией.

FakeBat ранее уже ассоциировался с рекламными кампаниями, распространяющими вредоносное ПО, уже по крайней мере с ноября 2022 года. Конечная цель вредоносного ПО в кампании, обнаруженной Malwarebytes, пока не установлена, но FakeBat обычно в кампаниях распространял инфостилеры Redline Stealer, Ursnif и Rhadamathys







 
Исследователи обнаружили вредоносную рекламную кампанию в Google Ads, продвигающую фейковый сайт менеджера паролей KeePass.

Мошенники использовали Punycode, чтобы замаскировать свой домен под настоящий, и распространяли таким способом малварь.


Вредоносная реклама

представляет собой стандартизированный метод преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.

Злоумышленники давно поняли, что можно злоупотреблять Punycode для регистрации доменных имен, которые выглядят похожими на легитимные, но содержат какой-либо Unicode-символ, который выглядит немного иначе.

Атаки такого типа часто называют омографическим. К примеру, в обнаруженном Malwarebytes случае злоумышленники использовали Punycode для создания адреса xn—eepass-vbb[.]info, который преобразуется в ķeepass.info, имитируя настоящий домен проекта (keepass.info), но с использованием символа «ķ».



В итоге этот вредоносный домен продвигали в рекламе через Google Ads, имитируя рекламу настоящего KeePass. Если жертва не замечала ничего странного и кликала по такому объявлению мошенников, срабатывал редирект, который проверял, что жертва не является краулером, ботом, не использует песочницу и так далее, после чего пользователь попадал на поддельный сайт https://xn--eepass-vbb[.]info.


Редиректы

«Пользователей сначала обманывают с помощью рекламы Google, которая выглядит совершенно законной, а затем еще раз с помощью похожего домена», — пишет Жером Сегура (Jérôme Segura), руководитель отдела анализа угроз Malwarebytes.

Настоящий сайт (слева) и фальшивка (справа)

На сайте мошенников, который прикидывался официальным сайтом KeePass, пользователю предлагали скачать «менеджер паролей». Нажатие на любую ссылку для скачивания приводило к загрузке подписанного установщика MSI с названием KeePass-2.55-Setup.msix, который содержал PowerShell-скрипт, связанный с загрузчиком малвари FakeBat.

PowerShell-скрипт в установщике. Фото:

Хотя исследователи не пишут об окончательной полезной нагрузке этой кампании, в июле 2023 года компания сообщала, что связывает FakeBat с распространяем таких инфостилеров, как Redline, Ursniff и Rhadamathys.

Хотя в настоявшее время Google уже удалила вредоносную рекламу, использующую Punycode, исследователи отмечают, что в этой кампании есть и другие мошеннические объявления, связанные с KeePass. Например, одно из таких объявлений указывает на домен keeqass[.]info, и злоумышленники так же распространяют FakeBat через этот сайт.

 
Сверху Снизу