据外媒报道,不法分子正在谷歌广告中推广一个虚假KeePass官网,该网站使用Punycode来伪装成KeePass密码管理器的官方域名,以分发恶意软件。
Punycode是一种用于在互联网上处理非ASCII字符(西里尔字母、阿拉伯字母、希腊字母、汉字等)域名的编码方案。它的主要目的是将非ASCII字符转换为纯ASCII字符,以便在域名系统(DNS)中进行正常的解析和处理。
从截图中可以看到,伪造的KeePass官网出现在谷歌搜索结果首页。谷歌广告被滥用,其中显示着Keepass的合法域名(https://www.keepass.info),欺骗性非常强,即使是对于那些注重安全的用户,也很难发觉不对劲。
在重定向过滤机器人流量和沙盒后,点击恶意链接的用户最终将进入使用Punycode URL(https://xn--eepass-vbb[.]info/)的伪造KeePass网站。
实际上,该钓鱼网站的真实域名为“ķeepass.info”——似乎与KeePass官网没有任何区别?注意看的话,能够看到字符“ķ”下面还有一个微小的变音符号。然而大多数人未经提醒都不会发觉,可想而知会有多少人上当受骗。
点击该钓鱼网站上嵌入的任何下载链接的用户将收到一个名为“KeePass-2.55-Setup.msix”的经过数字签名的MSI安装程序,其中包含与FakeBat恶意软件加载器相关联的PowerShell脚本。
该案例提醒我们,在下载软件时,需要更加细致地进行辨别。在企业环境中,建议IT管理员提供内部软件库,以便员工能够从中安全获取软件安装程序。
编辑:左右里
资讯来源:bleepingcomputer
转载请注明出处和本文链接
安全众测
借助众多白帽子的力量,针对目标系统在规定时间内进行漏洞悬赏测试。
您在收到有效的漏洞后,按漏洞风险等级给予白帽子一定的奖励。通常情况下是按漏洞付费,性价比较高。
同时,不同白帽子的技能研究方向可能不同,在进行测试的时候更为全面。
球分享
球点赞
球在看