I ricercatori di Malwarebytes hanno scoperto un’altra campagna di malvertising, dopo quella che riguarda Notepad++. I cybercriminali sfruttano sempre Google Ads per mostrare l’inserzione che porta al sito fake di KeePass, ma stavolta l’indirizzo sembra quello ufficiale. In realtà è stata utilizzata la codifica Punycode.
Google Ads, Punycode e sito fake
Google Ads viene spesso sfruttato per mostrare link sponsorizzati nei risultati delle ricerche, ma i più attenti riescono a scoprire l’inganno leggendo il nome del dominio. Stavolta è stato utilizzato un metodo più ingegnoso. Quando l’utente cerca “keepass” su Google vede un’inserzione pubblicitaria all’inizio della pagina che sembra legittima. Ci sono infatti il logo e l’URL ufficiali.
Cliccando sul link viene effettuata un primo reindirizzamento verso un sito temporaneo che verifica la presenza di bot o sandbox. Se il test viene superato avviene un secondo reindirizzamento al dominio xn--eepass-vbb.info
. Nella barra degli indirizzi viene però mostrato l’URL keepass.info
, ovvero quello legittimo. Il sito ha ovviamente un design quasi identico all’originale.
I cybercriminali hanno usato la codifica Punycode per convertire i caratteri Unicode del nome del dominio in caratteri ASCII. La differenza tra URL legittimo e fasullo è praticamente invisibile (sotto la lettera k c’è un piccolo carattere). Cliccando sui pulsanti di download viene scaricato un installer MSIX che nasconde uno script PowerShell. Se eseguito viene copiato sul computer il loader FakeBat.
Come riporta Bleeping Computer, Google ha rimosso l’inserzione scoperta da Malwarebytes, ma ci sono altri link sponsorizzati che portano a siti fake di KeePass con lo stesso installer MSIX e lo stesso malware. Entrambi i domini vengono segnalati come pericolosi dal servizio Google Safe Browsing.