RSS icon Octo Browser
2к+
Свежие новости 0 10 395 24 окт, 2023

Как клоны популярных доменов проходят модерацию в Google Ads

Признавайтесь, котаны! Кто льет инсталлы с Google Ads? Компания по кибербезопасности Malwarebytes обнаружила РК с клоном KeePass — одним из самых первых сервисов для хранения паролей. Клон домена полностью совпадает с оригиналом, и оба рекламируются в Google Ads. Как это произошло, и как получилось создать идентичный домен, разбираем ниже, заходи. Только для общего развития, чур не повторять!
Как клоны популярных доменов проходят модерацию в Google Ads
В недрах выдры огромной базе рекламных кампаний Google Ads была обнаружена РК, которая под видом сервиса по хранению паролей KeePass распространяла вредоносное ПО. Гугл конечно борется с огромным потоком попыток протаскивать запрещенные ссылки в рекламу и результаты поиска, но тут как оказалось выявить ошибку было сложнее. 

Домены keepass.info выглядят одинаково, и официальная компания тоже как бы платит за трафик Google Ads, а это сильно затрудняет обнаружение подозрительных клонов. Разбираемся что произошло. 



На скрине ниже мы видим, спонсорский блок, классическая реклама в Google Ads. Ссылка, которую ты ты видишь на скрине прописывается в ручную в отдельном поле. И ссылка правильная, т.е на официальный сайт Keepass. 

Как клоны популярных доменов проходят модерацию в Google Ads
На самом деле это заклоаченый линк с целой цепочкой редиректов. Но и это далеко не все. Нажав на ссылку ты проходишь серию редиректов, которые фильтруют модераторов и ботов, направляя их на оригинальный сайт Keepass. А живой трафик попадет на клона, доменное имя которого создается в Punycode //xn--eepass-vbb[.]info как показано ниже. 

Как клоны популярных доменов проходят модерацию в Google Ads Punycode — это метод кодирования для представления символов Юникода, который помогает преобразовывать имена хостов, написанные нелатинскими буквами в ASCII, чтобы сделать их понятными для DNS (системы доменных имен).
 

​​Например, «München» будет преобразовано в «Mnchen-3ya», «α» станет «mxa», «правда» станет «80aafi6cg», а «도메인» станет «hq1bm8jm9l».


С помощью Punycode регистрируются доменные имена, которые похожи на трастовые сайты, с незначительной разницей в 1 символ. Так в истории с Keepass, злоумышленники зарегистрировали доменное имя xn—eepass-vbb.info которое преобразуется в ķeepass.info — подлинный домен, с незначительной галочкой под символом К. 

Как клоны популярных доменов проходят модерацию в Google Ads
Это незначительное изменение практически не различимо большинством пользователей, с учетом того, что и сайт для инсталл офферов выглядит точной копией оригинала.
 
Как клоны популярных доменов проходят модерацию в Google Ads
Те же, кто нажимает на любую ссылку для скачивания на фишинговом сайте, получают установщик MSI с цифровой подписью KeePass-2.55-Setup .msi x

Как клоны популярных доменов проходят модерацию в Google Ads

И хотя Google уже удалил исходную рекламу, которую обнаружил Malwarebytes, клоны все продолжают появлятся все так же с незначительными изменениями в домене. 
 
Принеси в жертву лайк и шеринг во славу бога Рандома, и профитный конверт будет сопутствовать тебе всю неделю!

Трафик, котики, завод!

Комментарии