Угрозы известны тем, что выдают себя за популярные бренды, чтобы обмануть пользователей. В одной из недавних кампаний по вредоносной рекламе мы наблюдали вредоносную рекламу Google для KeePass, менеджера паролей с открытым исходным кодом, которая была очень обманчивой. Ранее мы уже сообщали о том, что подражание брендам стало обычным явлением благодаря функции, известной как шаблоны отслеживания, однако в данной атаке был использован дополнительный уровень обмана.
Для маскировки под настоящий сайт KeePass злоумышленники зарегистрировали поддельное интернационализированное доменное имя, использующее Punycode, специальную кодировку символов. Визуально разница между двумя сайтами настолько незаметна, что, несомненно, введет в заблуждение многих людей.
Вредоносная реклама появляется при поиске в Google по запросу "keepass", популярного менеджера паролей с открытым исходным кодом. Реклама очень обманчива, поскольку содержит официальный логотип Keepass, URL-адрес и отображается перед результатами органического поиска легитимного сайта.
Indicators of Compromise
Domains
- 756-ads-info.xyz
- keepasstacking.site
- xn--eepass-vbb.info
URLs
- refreshmet.com/Package.tar.gpg
- xn--eepass-vbb.info/download/KeePass-2.55-Setup.msix
SHA256
- 181626fdcff9e8c63bb6e4c601cf7c71e47ae5836632db49f1df827519b01aaa