Google Ads: falso sito KeePass usato per distribuire malware

La società di sicurezza Malwarebytes ha scovato tra gli annunci di Google un sito fake che offriva il download del password manager open source KePass. Questo sito utilizzava Punycode per apparire come un dominio ufficiale e distribuire così indisturbato il malware. Big G lotta continuamente contro le continue campagne di malvertising che permettono agli autori delle minacce di pubblicare annunci sponsorizzati che appaiono all’inizio della SERP organica. Cosa peggiore, i cybercriminali sono in grado sfruttare di Google Ads per mostrare il dominio legittimo di KeePass negli annunci pubblicitari (www.keepass.info), rendendo la minaccia sempre più difficile da individuare.

Google Ads: come funziona il malware del falso sito KeePass

Come riportato sul blog ufficiale di Malwarebytes, gli utenti visualizzano l’annuncio dannoso creato con Google Ads quando effettuano una ricerca per la parola chiave “keepass” su Google. Questo è decisamente ingannevole, poiché sembra il vero sito ufficiale. Cliccando sull’annuncio, l'URL reindirizza gli utenti su un dominio temporaneo tramite un servizio di cloaking che ha lo scopo di filtrare sandbox o bot. Se la vittima è considerata autentica, questa viene reindirizzata sul vero sito malevolo. Utilizza Punycode, una codifica speciale per convertire i caratteri Unicode in ASCII, i criminali riescono a rendere l’URL del sito malevolo (quasi) identico a quello del sito originale. Nell’esempio mostrato da Malwarebytes, l’unica differenza è un piccolo carattere impercettibile sotto la “k” (come un puntino). In questo modo il nome del dominio malevolo “xn--eepass-vbb[.]info” viene trasformato in “ķeepass[.]info”.

Gli utenti che provano a scaricare il password manager ottengono un programma di installazione MSI con firma digitale, chiamato “KeePass-2.55-Setup.msix”, che include uno script PowerShell associato al caricatore di malware FakeBat già usato per campagne di malvertising su Google Ads almeno da novembre 2022. Come ricorda ancora Malwarebytes, il malvertising tramite i motori di ricerca sta diventando sempre più sofisticato. Gli utenti devono quindi prestare sempre molta attenzione ai siti di download. Anche se possono sembrare autentici, è sempre bene controllare ogni dettaglio (ad esempio il piccolo puntino sotto la k nel falso sito malevolo di keepass). Infine, negli ambienti aziendali, la società consiglia inoltre agli amministratori IT di fornire repository interni. Così facendo i dipendenti possono scaricare e installare i software in modo sicuro.