Site falso do KeePass usa anúncios do Google e Punycode para espalhar malware
20 de Outubro de 2023

Uma campanha do Google Ads foi encontrada promovendo um site de download falso do KeePass que usava o Punycode para parecer como o domínio oficial do gerenciador de senhas KeePass para distribuir malware.

O Google vem lutando contra campanhas de malvertising em andamento que permitem que atores de ameaça publiquem anúncios patrocinados que aparecem acima dos resultados de pesquisa.

Ainda pior, o Google Ads pode ser usado para mostrar o domínio legítimo do Keepass nos anúncios (https://www.keepass[.]info), tornando a ameaça difícil de ser percebida mesmo por usuários mais diligentes e conscientes de segurança.

Aqueles que clicarem no link malicioso passarão por uma série de redirecionamentos de perfil do sistema que filtram o tráfego de bots e sandboxes para chegar ao site falso do KeePass usando um URL Punycode, https://xn--eepass-vbb[.]info/, como mostrado abaixo.

Malwarebytes, que descobriu essa campanha, observa que o abuso de Punycode para cibercrime não é inédito.

No entanto, sua combinação com o abuso do Google Ads pode sinalizar uma nova tendência perigosa no campo.

Punycode é um método de codificação usado para representar caracteres Unicode, ajudando a converter hostnames em scripts não latinos (cirílico, árabe, grego, chinês, etc.) para ASCII para torná-los compreensíveis para o DNS (Sistema de Nomes de Domínio).

Por exemplo, "München" seria convertido para "Mnchen-3ya", "α" se tornaria "mxa", "правда" seria "80aafi6cg" e "도메인" se tornaria "hq1bm8jm9l".

Os atores de ameaças abusam do Punycode para registrar nomes de domínio que parecem semelhantes aos sites legítimos, mas com um caractere usando unicode, para parecer um pouco diferente.

Esse tipo de ataques é chamado de "ataques homográficos".

No que foi identificado pela Malwarebytes, os atores da ameaça usam o Punycode "xn—eepass-vbb[.]info" que se converte para "ķeepass[.]info", o domínio genuíno do projeto, mas com uma leve entonação sob o caractere "ķ".

Este pequeno erro visual não é provável que seja percebido pela maioria dos usuários que visitam o site de isca, mas é um indício da técnica usada neste caso.

Aqueles que clicam em qualquer link de download incorporado ao site falso recebem um instalador MSI assinado digitalmente chamado 'KeePass-2.55-Setup.msix' que inclui um script PowerShell associado ao carregador de malware FakeBat.

Embora o Google tenha removido o anúncio original Punycode visto pela Malwarebytes, foram identificados anúncios KeePass adicionais em andamento na mesma campanha de malware.

Este anúncio, no entanto, leva a um domínio chamado keeqass[.]info, como mostrado na imagem abaixo.

Como o domínio Punycode, este site promove o mesmo arquivo MSIX que inclui o mesmo script PowerShell FakeBat para baixar e instalar malware no dispositivo Windows.

Em testes realizados, ao ser executado, o script PowerShell FakeBat baixará um arquivo RAR criptografado com GPG, descriptografá-lo e extraí-lo para a pasta %AppData%.

No arquivo analisado, o script lançará um arquivo chamado 'mergecap.exe' do arquivo.

Um relatório da Intel471 de início de 2023 explicou que o FakeBat é um carregador/distribuidor de malware associado a campanhas de malvertising desde pelo menos novembro de 2022.

A carga final de malware entregue na campanha vista pela Malwarebytes não foi determinada, mas um relatório da Sophos de julho de 2023 liga o FakeBat a roubadores de informações como Redline, Ursniff e Rhadamathys.

Foram encontrados outros softwares populares falsificados nesta campanha de malware, incluindo WinSCP e PyCharm Professional.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...