據外媒報導,不法分子正在谷歌廣告中推廣一個虛假KeePass官網,該網站使用Punycode來偽裝成KeePass密碼管理器的官方域名,以分發惡意軟體。
Punycode是一種用於在網際網路上處理非ASCII字元(西裡爾字母、阿拉伯字母、希臘字母、漢字等)域名的編碼方案。它的主要目的是將非ASCII字元轉換為純ASCII字元,以便在域名系統(DNS)中進行正常的解析和處理。
從截圖中可以看到,偽造的KeePass官網出現在谷歌搜尋結果首頁。谷歌廣告被濫用,其中顯示著Keepass的合法域名(https://www.keepass.info),欺騙性非常強,即使是對於那些注重安全的使用者,也很難發覺不對勁。
在重定向過濾機器人流量和沙盒後,點選惡意連結的使用者最終將進入使用Punycode URL(https://xn--eepass-vbb[.]info/)的偽造KeePass網站。
實際上,該釣魚網站的真實域名為“ķeepass.info”——似乎與KeePass官網沒有任何區別?注意看的話,能夠看到字元“ķ”下面還有一個微小的變音符號。然而大多數人未經提醒都不會發覺,可想而知會有多少人上當受騙。
點選該釣魚網站上嵌入的任何下載連結的使用者將收到一個名為“KeePass-2.55-Setup.msix”的經過數字簽名的MSI安裝程式,其中包含與FakeBat惡意軟體載入器相關聯的PowerShell指令碼。
該案例提醒我們,在下載軟體時,需要更加細緻地進行辨別。在企業環境中,建議IT管理員提供內部軟體庫,以便員工能夠從中安全獲取軟體安裝程式。
編輯:左右裡
資訊來源:bleepingcomputer
轉載請註明出處和本文連結