Malvertising: KeePass-Seite mit Punycode gefälscht
Cyberkriminelle werben über Google Ads etwa mit gefälschten KeePass-URLs mit Punycode-Zeichen. Die beworbene Seite liefert Malware aus.
(Bild: Pixels Hunter/Shutterstock.com)
IT-Forscher von Malwarebytes haben eine Malvertising-Kampagne entdeckt, die bösartige Google Ads für den Passwort-Manager KeePass geschaltet hat. Die bösartige Werbung sei sehr überzeugend gewesen.
(Bild: Malwarebytes)
Wie die Virenanalysten von Malwarebytes in einem Blog-Beitrag schreiben, haben die bösartigen Akteure einen dem eigentlichen Domain-Namen nachgeahmten internationalen Domain-Namen registriert. Der nutzt Punycode-Zeichen, um sich als vermeintlich echte KeePass-Webseite auszugeben. Punycode kodiert Sonderzeichen in URLs, von denen einige unserem lateinischen Alphabet ähneln. Der Unterschied zwischen den URLs sei derart subtil, dass er viele Menschen täuschen dürfte.
Punycode-Malvertising: Angreifer schützen sich selbst
Nach dem Klick auf die Werbung landen Interessierte erst mal bei einem Dienst, der Sandboxen, Bots und alle, die nicht als potenzielle Opfer durchgehen, ausfiltert. Die Täter haben dazu eine temporäre Domain, die ebenfalls "keepass" als Namensbestandteil enthält, zwischengeschaltet, die die bedingte Umleitung zum endgültigen Ziel vornimmt.
Die Zielseite und die Domain sehen auf den ersten Blick überzeugend aus. Allerdings ist das "k" in der URL mit einem Punycode-Sonderzeichen kodiert. In der umgewandelten Anzeige ist ein Zusatz unter dem Buchstaben zu sehen, der einem Komma ähnelt. Den dürften viele übersehen oder etwa als Verschmutzung auf dem Monitor wahrnehmen.
(Bild: Malwarebytes)
Die gefälschte Webseite ist keine exakte Kopie der Original-KeePass-Seite, sieht aber dennoch überzeugend aus. Wer dort KeePass herunterladen möchte, erhält einen bösartigen .msix-Installer, der eine gültige digitale Signatur von "Futurity Designs Ltd." trägt. Der Inhalt des Installers bringt neben echt aussehenden KeePass-Dateien ein Powershell-Skript mit, das den IT-Forschern zufolge zur FakeBat-Malware-Familie gehört. Es nimmt Kontakt zum Command-and-Control-Server auf, meldet dort das neue Opfer und lädt weitere Schadsoftware nach. Der Blog-Beitrag listet Indizien für eine Infektion (Indicators of Compromise, IOCs) auf, nach denen potenzielle Opfer Ausschau halten können.
Malvertising ist eine andauernde Bedrohung. Im April haben Online-Betrüger die Malware Bumblebee mit infizierten Installern verteilt, die auf ebenfalls täuschend echt aufgemachten, gefälschten Webseiten bereitstand. Auch da versuchten die Cyberkriminellen, mit echt aussehenden URLs Opfer zu täuschen. Anstatt Punycode nutzten sie jedoch Namensähnlichkeiten, etwa "appcisco.com".
(dmk)
