Невнимательность пользователя может привести к потере конфиденциальных данных.
Специалисты ИБ-компании Malwarebytes Для просмотра ссылки Войдиили Зарегистрируйся рекламную кампанию Google Ads, которая направляет пользователей на поддельный сайт KeePass. Для маскировки своих злонамеренных действий злоумышленники используют метод Punycode , чтобы их вредоносный домен выглядел как официальный домен KeePass.
Google долгое время боролась с такими мошенническими рекламными кампаниями, где угрозы появляются в виде рекламы над результатами поиска. Более того, Google Ads может быть использована для показа легитимного домена KeePass в рекламе, что затрудняет обнаружение угрозы даже для опытных пользователей.
Злоумышленники используют Punycode – метод кодирования для представления Unicode-символов в формат ASCII. Такой способ позволяет преобразовывать домены, написанные не на латинице (кириллица, арабский, греческий и др.), чтобы сделать их понятными для DNS.
В данном случае хакеры использовали Punycode «xn—eepass-vbb.info», что транслируется в «ķeepass.info» – почти идентично настоящему домену. Такая маленькая визуальная ошибка вряд ли будет замечена пользователем, но это явный признак использования такой техники.
Настоящий (слева) и поддельный сайт (справа) KeePass
На поддельном сайте расположены ссылки для загрузки, ведущие к файлу 'KeePass-2.55-Setup.msix', который содержит скрипт PowerShell, связанный с вредоносным загрузчиком FakeBat. Хотя Google удалила первоначальную рекламу с Punycode, были обнаружены дополнительные рекламные объявления KeePass, связанные с той же злонамеренной кампанией.
FakeBat ранее уже ассоциировался с рекламными кампаниями, распространяющими вредоносное ПО, уже по крайней мере с ноября 2022 года. Конечная цель вредоносного ПО в кампании, обнаруженной Malwarebytes, пока не установлена, но FakeBat обычно в кампаниях распространял инфостилеры Redline Stealer, Ursnif и Rhadamathys
Специалисты ИБ-компании Malwarebytes Для просмотра ссылки Войди
Google долгое время боролась с такими мошенническими рекламными кампаниями, где угрозы появляются в виде рекламы над результатами поиска. Более того, Google Ads может быть использована для показа легитимного домена KeePass в рекламе, что затрудняет обнаружение угрозы даже для опытных пользователей.
Злоумышленники используют Punycode – метод кодирования для представления Unicode-символов в формат ASCII. Такой способ позволяет преобразовывать домены, написанные не на латинице (кириллица, арабский, греческий и др.), чтобы сделать их понятными для DNS.
В данном случае хакеры использовали Punycode «xn—eepass-vbb.info», что транслируется в «ķeepass.info» – почти идентично настоящему домену. Такая маленькая визуальная ошибка вряд ли будет замечена пользователем, но это явный признак использования такой техники.
Настоящий (слева) и поддельный сайт (справа) KeePass
На поддельном сайте расположены ссылки для загрузки, ведущие к файлу 'KeePass-2.55-Setup.msix', который содержит скрипт PowerShell, связанный с вредоносным загрузчиком FakeBat. Хотя Google удалила первоначальную рекламу с Punycode, были обнаружены дополнительные рекламные объявления KeePass, связанные с той же злонамеренной кампанией.
FakeBat ранее уже ассоциировался с рекламными кампаниями, распространяющими вредоносное ПО, уже по крайней мере с ноября 2022 года. Конечная цель вредоносного ПО в кампании, обнаруженной Malwarebytes, пока не установлена, но FakeBat обычно в кампаниях распространял инфостилеры Redline Stealer, Ursnif и Rhadamathys
- Источник новости
- www.securitylab.ru