Malverzting hostovan na Googleu vodi do lažnog sajta za Keepass koji izgleda autentično
Google je uhvaćen kao domaćin zlonamerne reklame toliko uverljive, da postoji pristojna šansa da je uspeo da prevari neke od korisnika koji su se s njom sreli.
Google – verified oglašivač + URL koji izgleda legitimno + važeći TLS sertifikat = ubedljiva kopija
Gledajući reklamu, koja se prikazuje kao prezentacija za open-source menadžer lozinki Keepass, nema načina da se zna da je lažna. Ipak, nalazi se na Google-u, koji tvrdi da pregleda reklame koje objavljuje. Da bi obmana bila još ubedljivija, klik na nju vodi na sajt ķeepass[.]info, koji u traci adrese izgleda kao pravi sajt za Keepass. Međutim, pažljiviji pogled na link pokazuje da se radi o lažnom sajtu. U stvari, ķeepass[.]info – barem kada se pojavi u traci adrese – je samo enkodiran način označavanja xn--eepass-vbb[.]info, što se ispostavilo da je porodica malvera označena kao FakeBat. Kombinovanje Google oglasa sa sajtom sa vrlo sličnim URL-om, stvara gotovo savršenu oluju obmane.
“Korisnici su prvo prevareni putem Google oglasa koji izgleda potpuno legitimno, a zatim ponovo putem domena sličnog izgleda”, napisao je Jérôme Segura, šef obaveštajnih pretnji u provajderu za bezbednost Malwarebytes, u postu koji je objavljen 18.10, a koji je otkrio prevaru.
Informacije dostupne putem Google-ovog Ad Transparency Center-a, pokazuju da se reklame prikazuju od 14.10. i poslednji put su se pojavile 18.10. Reklame su plaćene od strane Digital Eagle, čija stranica transparentnosti navodi da je reč o oglašivaču čiji je identitet proveren od strane Google-a. Predstavnici Google-a nisu odmah odgovorili na email poruku, koja je poslata van radnog vremena. U prošlosti je kompanija rekla da brzo uklanja lažne reklame čim budu prijavljene. Trik koji je omogućio sajtu imitatoru xn--eepass-vbb[.]info da se pojavi kao ķeepass[.]info, je enkodirajuća šema poznata kao punycode. Ona omogućava reprezentaciju znakova Unikoda u standardnom ASCII tekstu. Pažljivo gledajući, lako je primetiti malu figuru nalik zarezu odmah ispod slova k. Kada se pojavi u traci adrese, figuru je podjednako lako promašiti, posebno kada URL podržava važeći TLS sertifikat, kao što je slučaj ovde. Korišćenje punycode-enkodiranih prevara malvera ima dugu istoriju. Pre dve godine, prevaranti su koristili Google oglase da bi privukli ljude na sajt koji je izgledao gotovo identično kao brave.com, ali je zapravo bio još jedan zlonamerni sajt koji je gurao lažnu verziju browsera.
Tehnika punycode prvi put je postala široko poznata 2017. godine, kada je web razvojni programer kreirao konceptualni sajt koji se maskirao kao apple.com.
Ne postoji siguran način za otkrivanje zlonamernih Google oglasa ili punycode enkodiranih URL-ova. Unos ķeepass[.]info u svih pet glavnih browsera vodi do lažnog sajta. Kada ste u nedoumici, možete da otvorite novi tab u pretraživaču i ručno uneti URL, ali to nije uvek izvodljivo kada su URL-ovi dugi. Druga opcija je da se pregleda TLS sertifikat kako bi se utvrdilo da pripada sajtu prikazanom u traci adrese.
Izvor: Arstechnica
