Přejít k hlavnímu obsahu

Falešná webová stránka KeePass šířila malware. Oklamat mohla i zkušené uživatele. Nechali byste se nachytat?

Pavel Trousil 24.10.2023
info ikonka
Zdroj: Vygenerováno v Midjourney

Bezpečnostní firma Malwarebytes odhalila reklamní kampaň na Googlu, která propagovala falešnou webovou stránku KeePass.info. Pomocí Punycode se tvářila jako oficiální doména oblíbeného správce hesel Keepass, ale místo legitimního programu šířila malware.

Kapitoly článku

Aktéři hrozeb jsou známí tím, že se vydávají za populární značky, aby oklamali uživatele. V nedávné malvertisingové kampani firma Malwarebytes zaznamenala na Googlu škodlivou reklamu na program KeePass, což je známý open-source správce hesel. 

Aktéři hrozeb si zaregistrovali napodobeninu názvu domény keepass.info a použili Punycode, který umožňuje překlad řetězce znaků kódovaných prostřednictvím Unicode do jednoduché ASCII podoby, aby ji vydávali za skutečný web KeePass. Rozdíl mezi oběma weby je vizuálně tak nepatrný, že nepochybně oklamal mnoho lidí.
 

Reklama
info ikonka
Zdroj: TZ Malwarebytes
Malvertising: použití on-line reklamy k šíření škodlivého softwaru. Klamavá reklama se objeví ještě dříve, než odkaz na oficiální webovou stránku.

Škodlivá reklama se zobrazila, pokud uživatelé do vyhledávače Google zadali název populárního open-source správce hesel "keepass". Reklama byla velmi klamavá, protože obsahovala i oficiální logo Keepass, oficiální URL adresu a zobrazila se ještě před organickým výsledkem vyhledávání legitimní webové stránky. Při pouhém pohledu na reklamu neměli uživatelé tušení, že je škodlivá.

Web stránky
info ikonka
Zdroj: TZ Malwarebytes
Rozdíl mezi stránkami a hlavně URL adresami je nepatrný. Nachytat se mohli i zkušení uživatelé. Vlevo je pravá webová stránka, vpravo falešná. Rozpoznali byste podvod?

Uživatelé, kteří na reklamu klikli, byli přesměrováni přes maskovací službu na falešnou stránku https://xn--eepass-vbb[.]info. Aktéři hrozby zřídili dočasnou doménu na adrese keepasstacking[.]site, která prováděla podmíněné přesměrování na konečný cíl. Pokud stánku otevřete, vypadá velmi věrně a jediný rozdíl je ve znaku „ķ“ (všimněte si tečky pod k). 

Web stránky
info ikonka
Zdroj: TZ Malwarebytes
Převod Punycode na ASCII lze velmi snadno zneužít k podstrčení falešné stránky.

Mohlo by vás zajímat

Sofistikovaná hrozba

Zatímco Punycode s internacionalizovanými názvy domén používají aktéři hrozeb k phishingu obětí již řadu let, ukazuje se, jak efektivní zůstává možnost vydávat se za nějakou známou značku prostřednictvím malvertisingu, tedy použití online reklamy k šíření malwaru. Uživatelé jsou nejprve oklamáni prostřednictvím reklamy na Googlu, která vypadá zcela legitimně, a poté ještě jednou prostřednictvím napodobeniny domény.
 

Web stránky
info ikonka
Zdroj: Screenshot webové stránky keepass, redakce
Google už o problému ví, takže než se dostanete na falešnou stránku, budete na to upozorněni. Všimněte si malé tečky pod k.

Malvertising ve vyhledávačích je stále sofistikovanější. Pro koncové uživatele to znamená, že je aktuálně velmi důležité dávat velký pozor na to, odkud programy stahují a jakým stránkám by se měli vyhnout. Tento incident už byl nahlášen Googlu, takže pokud byste chtěli falešnou stránku zobrazit, objeví se varování. 

Zdroj: Malwarebytes, Bleedingcomputer, Wikipedia - Punycode


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme