認準官網也有可能上當，密碼管理器KeePass遭冒充

據外媒報導，不法分子正在谷歌廣告中推廣一個虛假KeePass官網，該網站使用Punycode來偽裝成KeePass密碼管理器的官方域名，以分發惡意軟體。

Punycode是一種用於在網際網路上處理非ASCII字元（西裡爾字母、阿拉伯字母、希臘字母、漢字等）域名的編碼方案。它的主要目的是將非ASCII字元轉換為純ASCII字元，以便在域名系統（DNS）中進行正常的解析和處理。

從截圖中可以看到，偽造的KeePass官網出現在谷歌搜尋結果首頁。谷歌廣告被濫用，其中顯示著Keepass的合法域名（https://www.keepass.info），欺騙性非常強，即使是對於那些注重安全的使用者，也很難發覺不對勁。

在重定向過濾機器人流量和沙盒後，點選惡意連結的使用者最終將進入使用Punycode URL（https://xn--eepass-vbb[.]info/）的偽造KeePass網站。

實際上，該釣魚網站的真實域名為“ķeepass.info”——似乎與KeePass官網沒有任何區別？注意看的話，能夠看到字元“ķ”下面還有一個微小的變音符號。然而大多數人未經提醒都不會發覺，可想而知會有多少人上當受騙。

點選該釣魚網站上嵌入的任何下載連結的使用者將收到一個名為“KeePass-2.55-Setup.msix”的經過數字簽名的MSI安裝程式，其中包含與FakeBat惡意軟體載入器相關聯的PowerShell指令碼。

該案例提醒我們，在下載軟體時，需要更加細緻地進行辨別。在企業環境中，建議IT管理員提供內部軟體庫，以便員工能夠從中安全獲取軟體安裝程式。

編輯：左右裡

資訊來源：bleepingcomputer

轉載請註明出處和本文連結