图片来源:
Malwarebytes
资安业者Malwarebytes本周揭露,当使用者利用Google搜寻开源的密码管理工具时KeePass 时,会跳出一个冒牌的KeePass广告,它看起来跟合法搜寻结果一模一样,只是使用者透过该站下载的是恶意程式。
目前Google似乎已移除了该广告,但根据Malwarebytes所展示的画面,当使用者搜寻KeePass时,首先跳出来的是KeePass恶意广告,接著才是KeePass的官方网站连结,但两个连结看起来几乎是一样的,网址也相同,但当使用者点选广告时,它即会被重新定向。
重新定向后的网址乍看之下也与KeePass官网一致,这是因为骇客使用了Punycode。网域名称系统(DNS)一般是使用ASCII字元集来显示网域名称,而对那些包含非ASCII字元集的网域名称带来问题,而Punycode即可将这些非ASCII字元转换成ASCII格式,主要是为了解决国际化网域名称(IDN)与网域名称系统(DNS)的互通。
而骇客即是利用了Punycode,把一个国际化的网域名称转成了ASCII格式,呈现了几乎与KeePass官网keepass.info一致的网名,该恶意网站的网域名称为ķeepass[.]info,要非常仔细才看得出k底下多了一点。
而使用者自恶意网站所下载的KeePass安装档即包含了FakeBat恶意程式家族,该恶意程式可与骇客所设置的C&C伺服器通讯,并下载其它的恶意程式。
近来Malwarebytes发现有愈来愈多的恶意广告透过Google搜寻递送,这些广告的手法愈来愈复杂,也让使用者更难避免,研究人员建议商用环境中的IT管理人员最好提供内部的储存空间,让员工直接自内部网路取得软体以确保安全。