Мошенничество с KeePass: какие последствия ждут жертв вредоносной рекламы?

Специалисты ИБ-компании Malwarebytes обнаружили рекламную кампанию Google Ads, которая направляет пользователей на поддельный сайт KeePass. Для маскировки своих злонамеренных действий злоумышленники используют метод Punycode, чтобы их вредоносный домен выглядел как официальный домен KeePass.

Google долгое время боролась с такими мошенническими рекламными кампаниями, где угрозы появляются в виде рекламы над результатами поиска. Более того, Google Ads может быть использована для показа легитимного домена KeePass в рекламе, что затрудняет обнаружение угрозы даже для опытных пользователей.

Злоумышленники используют Punycode – метод кодирования для представления Unicode-символов в формат ASCII. Такой способ позволяет преобразовывать домены, написанные не на латинице (кириллица, арабский, греческий и др.), чтобы сделать их понятными для DNS.

В данном случае хакеры использовали Punycode «xn—eepass-vbb.info», что транслируется в «ķeepass.info» – почти идентично настоящему домену. Такая маленькая визуальная ошибка вряд ли будет замечена пользователем, но это явный признак использования такой техники.

Настоящий (слева) и поддельный сайт (справа) KeePass

На поддельном сайте расположены ссылки для загрузки, ведущие к файлу 'KeePass-2.55-Setup.msix', который содержит скрипт PowerShell, связанный с вредоносным загрузчиком FakeBat. Хотя Google удалила первоначальную рекламу с Punycode, были обнаружены дополнительные рекламные объявления KeePass, связанные с той же злонамеренной кампанией.

FakeBat ранее уже ассоциировался с рекламными кампаниями, распространяющими вредоносное ПО, уже по крайней мере с ноября 2022 года. Конечная цель вредоносного ПО в кампании, обнаруженной Malwarebytes, пока не установлена, но FakeBat обычно в кампаниях распространял инфостилеры Redline Stealer, Ursnif и Rhadamathys