Новости Мошенничество с KeePass: какие последствия ждут жертв вредоносной рекламы?

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Невнимательность пользователя может привести к потере конфиденциальных данных.


d90mlwbrphldew7diz0rmxshsnu3tb2n.png


Специалисты ИБ-компании Malwarebytes Для просмотра ссылки Войди или Зарегистрируйся рекламную кампанию Google Ads, которая направляет пользователей на поддельный сайт KeePass. Для маскировки своих злонамеренных действий злоумышленники используют метод Punycode , чтобы их вредоносный домен выглядел как официальный домен KeePass.

Google долгое время боролась с такими мошенническими рекламными кампаниями, где угрозы появляются в виде рекламы над результатами поиска. Более того, Google Ads может быть использована для показа легитимного домена KeePass в рекламе, что затрудняет обнаружение угрозы даже для опытных пользователей.

Злоумышленники используют Punycode – метод кодирования для представления Unicode-символов в формат ASCII. Такой способ позволяет преобразовывать домены, написанные не на латинице (кириллица, арабский, греческий и др.), чтобы сделать их понятными для DNS.

В данном случае хакеры использовали Punycode «xn—eepass-vbb.info», что транслируется в «ķeepass.info» – почти идентично настоящему домену. Такая маленькая визуальная ошибка вряд ли будет замечена пользователем, но это явный признак использования такой техники.


0irn7mbqunemhkju3gp2wzsijm82bd1e.png


Настоящий (слева) и поддельный сайт (справа) KeePass

На поддельном сайте расположены ссылки для загрузки, ведущие к файлу 'KeePass-2.55-Setup.msix', который содержит скрипт PowerShell, связанный с вредоносным загрузчиком FakeBat. Хотя Google удалила первоначальную рекламу с Punycode, были обнаружены дополнительные рекламные объявления KeePass, связанные с той же злонамеренной кампанией.

FakeBat ранее уже ассоциировался с рекламными кампаниями, распространяющими вредоносное ПО, уже по крайней мере с ноября 2022 года. Конечная цель вредоносного ПО в кампании, обнаруженной Malwarebytes, пока не установлена, но FakeBat обычно в кампаниях распространял инфостилеры Redline Stealer, Ursnif и Rhadamathys
 
Источник новости
www.securitylab.ru

Похожие темы