Μια νέα malvertising καμπάνια χρησιμοποιεί το Google Ads για να προωθήσει έναν ψεύτικο ιστότοπο λήψης του KeePass. Οι χειριστές της καμπάνιας χρησιμοποίησαν το Punycode για να εμφανίζεται ως το επίσημο domain του διαχειριστή κωδικών πρόσβασης, KeePass. Στόχος ήταν η διανομή κακόβουλου λογισμικού.
Η Google προσπαθεί να αντιμετωπίσει τις malvertising εκστρατείες, που επιτρέπουν στους επιτιθέμενους να εκμεταλλεύονται sponsored διαφημίσεις, που εμφανίζονται πάνω από τα αποτελέσματα αναζήτησης.
Ακόμη χειρότερα, το Google Ads μπορεί να χρησιμοποιηθεί για να εμφανιστεί το νόμιμο domain για το Keepass στις διαφημίσεις (https://www.keepass.info), καθιστώντας πιο δύσκολο τον εντοπισμό της απάτης.
Όσοι κάνουν κλικ στον κακόβουλο σύνδεσμο θα περάσουν από διάφορες ανακατευθύνσεις που φιλτράρουν bot traffic και sandboxes για να φτάσουν στον ψεύτικο ιστότοπο του KeePass χρησιμοποιώντας μια διεύθυνση URL Punycode, https://xn--eepass-vbb[.]info /.
Δείτε επίσης: Ads που διανέμουν malware εμφανίζονται στις απαντήσεις του Bing Chat
Η Malwarebytes, η οποία ανακάλυψε αυτήν την καμπάνια malvertising που εκμεταλλεύεται το Google Ads, σημειώνει ότι η κατάχρηση του Punycode δεν είναι σπάνιο φαινόμενο. Ωστόσο, ο συνδυασμός του με την κατάχρηση του Google Ads είναι κάτι καινούριο και μπορεί να σηματοδοτήσει μια νέα επικίνδυνη τάση στο τοπίο απειλών.
Κατάχρηση του Punycode
Το Punycode είναι μια μέθοδος κωδικοποίησης που χρησιμοποιείται για την αναπαράσταση χαρακτήρων Unicode, βοηθώντας τη μετατροπή hostnames με μη λατινικά scripts (κυριλλικά, αραβικά, ελληνικά, κινέζικα κ.λπ.) σε ASCII, για να γίνουν κατανοητά στο DNS (Domain Name System).
Για παράδειγμα, το “München” θα μετατραπεί σε “Mnchen-3ya”, το “α” θα γίνει “mxa”, το “правда” θα είναι “80aafi6cg” κλπ.
Οι κυβερνοεγκληματίες χρησιμοποιούν το Punycode για να καταχωρίσουν domain names που μοιάζουν με τα επίσημα, νόμιμα sites, αλλά με έναν χαρακτήρα που χρησιμοποιεί unicode (για να φαίνονται ελαφρώς διαφορετικά).
Αυτές οι επιθέσεις ονομάζονται “homograph attacks“. Στην επίθεση που εντοπίστηκε από τη Malwarebytes, οι επιτιθέμενοι χρησιμοποιούν το Punycode “xn—eepass-vbb.info” που μετατρέπεται σε “ķeepass.info“. Μοιάζει με το αυθεντικό domain του password manager Keepass, αλλά με μια μικρή διαφορά στον χαρακτήρα “ķ“.
Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware
Αυτή η μικρή διαφορά πιθανότατα δεν θα γίνει αντιληπτή από τους περισσότερους χρήστες και έτσι θα πέσουν στην παγίδα.
Όσοι κάνουν κλικ σε συνδέσμους λήψης που είναι ενσωματωμένοι στον ψεύτικο ιστότοπο Keepass λαμβάνουν ένα digitally-signed MSI installer που ονομάζεται “KeePass-2.55-Setup.msix” και περιλαμβάνει ένα PowerShell script που σχετίζεται με το FakeBat malware loader.
Η Google αφαίρεσε την αρχική διαφήμιση Punycode που είχε εντοπίσει η Malwarebytes, αλλά σύμφωνα με το BleepingComputer υπάρχουν και άλλες τέτοιες διαφημίσεις προώθησης του KeePass.
Η δεύτερη διαφήμιση, ωστόσο, οδηγεί σε ένα domain με το όνομα keeqass[.]info. Και σε αυτή την περίπτωση, προωθείται το ίδιο αρχείο MSIX που περιλαμβάνει το ίδιο FakeBat PowerShell script για λήψη και εγκατάσταση κακόβουλου λογισμικού στη συσκευή Windows.
Σύμφωνα με το BleepingComputer, η εκτέλεση του script θα κατεβάσει ένα κρυπτογραφημένο αρχείο RAR, θα το αποκρυπτογραφήσει και θα το εξαγάγει στον φάκελο %AppData%. Στο αρχείο που αναλύθηκε από το BleepingComputer, το script θα εκκινήσει ένα αρχείο με το όνομα ‘mergecap.exe‘ από το αρχείο.
Το τελικό malware payload που παραδίδεται σε αυτή την πρόσφατη καμπάνια δεν έχει καθοριστεί, αλλά μια αναφορά της Sophos από τον Ιούλιο του 2023 συνδέει το FakeBat με infostealers όπως τα Redline, Ursniff και Rhadamathys.
Δείτε επίσης: Cisco: Περισσότερες από 40.000 συσκευές IOS XE έχουν μολυνθεί με backdoor
Malvertising εκστρατείες
Στο σύγχρονο ψηφιακό περιβάλλον, ένα από τα πιο κρίσιμα ζητήματα ασφάλειας είναι το malvertising. Αναφέρεται στη χρήση ψεύτικων διαφημίσεων που οδηγούν σε κακόβουλες σελίδες και λήψη κακόβουλου λογισμικού. Πολλές φορές, οι χρήστες δεν γνωρίζουν καν ότι έχουν μολυνθεί από ιούς και άλλο κακόβουλο λογισμικό μέχρι να είναι πάρα πολύ αργά.
Πως λειτουργεί το Malvertising;
Ένας χρήστης κάνει κλικ σε μια κακόβουλη διαφήμιση. Συνήθως, μεταφέρεται σε μια κακόβουλη ιστοσελίδα η οποία παρέχει το κακόβουλο λογισμικό. Μπορεί επίσης να χρησιμοποιηθεί σε συνδυασμό με άλλες τεχνικές για να επιτεθεί σε ιδιαίτερα προστατευμένους υπολογιστές ή δίκτυα.
Είναι σαφές ότι η απειλή του malvertising είναι παρούσα και αυξάνεται, και απαιτείται συνεχής προσοχή και αναβάθμιση των μέτρων ασφάλειας για να την καταπολεμήσουμε.
Πηγή: www.bleepingcomputer.com
