تحذير – موقع التحميل الوهمي هذا لـ KeePass ينشر البرمجيات الخبيثة فقط

تبدع القراصنة الإلكترونيون في إطلاق حملات ضارة عبر Google Ads. اكتشف الباحثون في أمان المعلومات بـ Malwarebytes احتيالًا جديدًا. حتى الزوار الأكثر حذرًا قد يصبحون ضحايا وينتهي بهم الأمر بتثبيت برامج خبيثة عن طريق الخطأ.

تم رصد القراصنة يوزعون برامج خبيثة بإخفاء هويتهم وانتحالهم شخصية مدير كلمات المرور KeePass، من خلال إنشاء موقع ويب يشبه بشكل كبير العرض الأصلي لـ KeePass. يقترحون برنامجًا للتحميل يشبه كثيرًا المادة الأصلية.

ولكن في هذه الحالة، سيتم أيضًا رفقة البرنامج سكريبت PowerShell المرتبط بمحمل برامج خبيثة FakeBat، مما يعرض النقطة النهائية للخطر.

Punycode

لكن هذا نصف العمل فقط. النصف الآخر يتعلق بإعداد الأشخاص لزيارة الموقع. ولتحقيق هذا، ينشئ النصابون إعلانات Google Ads الضارة. عادةً ما يخترقون حساب Google Ads نشط (أو يشترون واحدًا من السوق السوداء) ويستخدمونه لإعداد حملة جديدة. أثناء إعداد هذه الحملة، سيستخدمون الـ Punycode لإخفاء URL الخاص بالموقع الضار وجعله يبدو أصليًا.

Punycode هو معيار ترميز مصمم لأسماء النطاقات الدولية. بمعنى آخر، يتيح عرض الكلمات في ASCII التي لا يمكن كتابتها في ASCII، وبالتالي دمج الأسكربتات غير اللاتينية (السيريلية ، الصينية) في نظام أسماء النطاقات (DNS).

مع Punycode، سيتم عرض URL الحقيقي للموقع – “xn—eepass-vbb.info” بشكل “ķeepass.info”. ربما لم تلاحظ ذلك، لكن هناك نقطة صغيرة تحت الحرف k. وهكذا يقوم المهددون بجعل الأشخاص يزورون موقعًا مزيفًا، معتقدين أنه حقيقي.

أبلغ Malwarebytes Google بالخدعة وقام عملاق محركات البحث بإزالة الحملة الخبيثة. ومع ذلك، لا تزال هناك حملات مماثلة أخرى نشطة، وربما هناك الكثير الذي لا يعرفه الباحثون في أمان المعلومات. من الأمور المهمة جدا أن يكون المستخدمون حذرين للغاية عند الوصول إلى المواقع عبر محرك البحث وأن يتحققوا دائمًا من العنوان في شريط العناوين URL.

للمزيد من المعلومات، راجع BleepingComputer.