Magia SEO, Punycode i Google Ads, czyli fałszywa strona przeglądarki Brave

30 lipca 2021, 11:07 | W biegu | komentarzy 5

Jeśli korzystasz z wyszukiwarki Google, to z pewnością nieraz spotkałeś się z reklamami serwowanymi przez Google Ads:

Badaczka bezpieczeństwa Yan Zhu odkryła kampanię cyberprzestępców, którzy wykorzystują system reklamowy Google Ads do promowania fałszywej strony przeglądarki Brave:

apparently ppl are seeing Google search ads for @brave which redirect to an impersonating domain (https://t.co/c6bY6f0T27) that's distributing malware. already reported it to safebrowsing, google ads, and their registrar but please be wary. pic.twitter.com/S7ufvxTPrZ
— yan (@bcrypt) July 28, 2021

Choć na pierwszy rzut oka fałszywa strona wygląda bliźniaczo podobnie do swojego prawdziwego odpowiednika, warto zwrócić uwagę na nazwę domeny – bravė.com (wyróżnione „ė” w przeglądarce nie różni się od zwykłej literki „e”).

W tym przypadku atakujący wykorzystali tzw. Punycode, czyli specjalne kodowanie, które jest wykorzystywane w celu konwersji Unicode na zestaw dozwolonych znaków w nazwie (tj.: litery ASCII, cyfry i myślniki). Domenę, która zawiera znaki spoza ASCII, nazywamy Internationalized Domain Name (IDM) – dzięki Punycode jesteśmy w stanie przedstawić jej nazwę w wersji obsługiwanej przez serwery DNS:

W przypadku fałszywej domeny bravė.com Punycode wyglądał następująco:

Celem przestępców było skłonienie ofiary do pobrania i uruchomienia złośliwego oprogramowania:

Warto dodać, że ci sami atakujący posiadają również domeny takie jak sīgnal.com czy teleģram.com, które są wykorzystywane do rozpowszechniania malware’a:

FWIW, on same IP address are also hosted sīgnal[.]com teleģram[.]com lędgėr[.]com
— Martijn Grooten (@martijn_grooten) July 28, 2021

~ Jakub Bielaszewski

Komentarze

Domeny nie-ASCII to zło

30 lipca, 2021 | 3:04 pm

Zeby nie dac sie oszukac falszywkom jak tu opisana, warto sobie ustawic w about:config

network.IDN_show_punycode true

Odpowiedz
- JuanPaul
  
  30 lipca, 2021 | 9:40 pm
  
  jeśli ktoś używa firefoxa :)
  
  Odpowiedz
  - Domeny nie-ASCII to zło
    
    30 lipca, 2021 | 11:00 pm
    
    Firefoxa, SeaMonkeya i pewnie innych wywodzacych sie z Mozilli.
    
    A w Chromie mozna podobnie ustawic?
    
    Odpowiedz
    - Martin
      
      31 lipca, 2021 | 2:00 pm
      
      Chrome ma algorytm:
      https://chromium.googlesource.com/chromium/src/+/main/docs/idn.md
      
      Odpowiedz
      - Chrome chromole
        
        2 sierpnia, 2021 | 2:54 pm
        
        Dzieki.
        Przeczytalem.
        
        „Google Chrome decides if it should show Unicode or punycode for each domain label […]”
        i nastepuje 13 kilkolinijkowych” kryteriow.
        
        Ale juz poczatek jw.: „Google Chrome decides” wystarczyl mi, zeby podtrzymac moje zdanie, ze nie bede uzywal tego trojana od Google’a.
        
        To uzytkownik powinien moc decydowac, nie Chrom!
        W Firefoxie mam jednoznaczne ustawienie, a tego oczekuje od oprogramowania.

Sprawdź VPS od Aruba!

Magia SEO, Punycode i Google Ads, czyli fałszywa strona przeglądarki Brave

Spodobał Ci się wpis? Podziel się nim ze znajomymi:

Komentarze

Odpowiedz