虚假KeePass网站利用Google Ads和Punycode推送恶意软件

恶意软件利用Punycode进行伪装

该恶意软件利用Punycode编码注册了一个与KeePass官方网站极为相似的域名，通过一系列重定向，将用户引导至伪装的KeePass网站（https://xn–eepass-vbb[.]info/）。这种编码方法可以将非拉丁字符（如西里尔文、阿拉伯文、希腊文、中文等）转换为ASCII字符，以便在DNS（域名系统）中使用。威胁行为者滥用Punycode编码注册域名，使其与合法网站看起来非常相似，但仅在一个字符上略有不同。这种攻击被称为“同形攻击”。

尽管大多数用户很难察觉到伪装网站上的微小视觉差异，但这恰恰揭示了此次攻击中使用的技术手段。

FakeBat是与恶意广告活动相关的恶意软件加载器/投放器，早在2022年11月就开始出现。尽管目前尚不清楚此次攻击中的最终恶意软件负载是什么，但Sophos在2023年7月的一份报告中将FakeBat与Redline、Ursniff和Rhadamathys等信息窃取软件联系在一起。

此次恶意软件活动不仅针对KeePass，还伪装成其他知名软件，如WinSCP和PyCharm Professional。这表明威胁行为者正不断寻找新的伪装对象，以提高攻击的成功率。

获取最新资讯、资源合集。欢迎关注公众号：黑客帮