В недрах выдры огромной базе рекламных кампаний Google Ads была обнаружена РК, которая под видом сервиса по хранению паролей KeePass распространяла вредоносное ПО. Гугл конечно борется с огромным потоком попыток протаскивать запрещенные ссылки в рекламу и результаты поиска, но тут как оказалось выявить ошибку было сложнее.
Домены keepass.info выглядят одинаково, и официальная компания тоже как бы платит за трафик Google Ads, а это сильно затрудняет обнаружение подозрительных клонов. Разбираемся что произошло.
На скрине ниже мы видим, спонсорский блок, классическая реклама в Google Ads. Ссылка, которую ты ты видишь на скрине прописывается в ручную в отдельном поле. И ссылка правильная, т.е на официальный сайт Keepass.
На самом деле это заклоаченый линк с целой цепочкой редиректов. Но и это далеко не все. Нажав на ссылку ты проходишь серию редиректов, которые фильтруют модераторов и ботов, направляя их на оригинальный сайт Keepass. А живой трафик попадет на клона, доменное имя которого создается в Punycode //xn--eepass-vbb[.]info как показано ниже.
Например, «München» будет преобразовано в «Mnchen-3ya», «α» станет «mxa», «правда» станет «80aafi6cg», а «도메인» станет «hq1bm8jm9l».
С помощью Punycode регистрируются доменные имена, которые похожи на трастовые сайты, с незначительной разницей в 1 символ. Так в истории с Keepass, злоумышленники зарегистрировали доменное имя xn—eepass-vbb.info которое преобразуется в ķeepass.info — подлинный домен, с незначительной галочкой под символом К.
Это незначительное изменение практически не различимо большинством пользователей, с учетом того, что и сайт для инсталл офферов выглядит точной копией оригинала.
Те же, кто нажимает на любую ссылку для скачивания на фишинговом сайте, получают установщик MSI с цифровой подписью KeePass-2.55-Setup .msi x
И хотя Google уже удалил исходную рекламу, которую обнаружил Malwarebytes, клоны все продолжают появлятся все так же с незначительными изменениями в домене.