Фальшивая реклама KeePass использует Punycode и домен, почти неотличимый от настоящего
Исследователи Malwarebytes обнаружили вредоносную рекламную кампанию в Google Ads, продвигающую фейковый сайт менеджера паролей KeePass. Мошенники использовали Punycode, чтобы замаскировать свой домен под настоящий, и распространяли таким способом малварь.
Punycode представляет собой стандартизированный метод преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.
Злоумышленники давно поняли, что можно злоупотреблять Punycode для регистрации доменных имен, которые выглядят похожими на легитимные, но содержат какой-либо Unicode-символ, который выглядит немного иначе.
Атаки такого типа часто называют омографическим. К примеру, в обнаруженном Malwarebytes случае злоумышленники использовали Punycode для создания адреса xn—eepass-vbb[.]info, который преобразуется в ķeepass.info, имитируя настоящий домен проекта (keepass info), но с использованием символа «ķ».
Исследователи Malwarebytes обнаружили вредоносную рекламную кампанию в Google Ads, продвигающую фейковый сайт менеджера паролей KeePass. Мошенники использовали Punycode, чтобы замаскировать свой домен под настоящий, и распространяли таким способом малварь. Punycode представляет собой стандартизированный метод преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов. Злоумышленники давно поняли, что можно злоупотреблять Punycode для регистрации доменных имен, которые выглядят похожими на легитимные, но содержат какой-либо Unicode-символ, который выглядит немного иначе. Атаки такого типа часто называют омографическим. К примеру, в обнаруженном Malwarebytes случае злоумышленники использовали Punycode для создания адреса xn—eepass-vbb[.]info, который преобразуется в ķeepass.info, имитируя настоящий домен проекта (keepass info), но с использованием символа «ķ».