Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Magia SEO, Punycode i Google Ads, czyli fałszywa strona przeglądarki Brave

30 lipca 2021, 11:07 | W biegu | komentarzy 5

Jeśli korzystasz z wyszukiwarki Google, to z pewnością nieraz spotkałeś się z reklamami serwowanymi przez Google Ads:

Badaczka bezpieczeństwa Yan Zhu odkryła kampanię cyberprzestępców, którzy wykorzystują system reklamowy Google Ads do promowania fałszywej strony przeglądarki Brave:

Choć na pierwszy rzut oka fałszywa strona wygląda bliźniaczo podobnie do swojego prawdziwego odpowiednika, warto zwrócić uwagę na nazwę domeny – bravė.com (wyróżnione „ė” w przeglądarce nie różni się od zwykłej literki „e”).

W tym przypadku atakujący wykorzystali tzw. Punycode, czyli specjalne kodowanie, które jest wykorzystywane w celu konwersji Unicode na zestaw dozwolonych znaków w nazwie (tj.: litery ASCII, cyfry i myślniki). Domenę, która zawiera znaki spoza ASCII, nazywamy Internationalized Domain Name (IDM) – dzięki Punycode jesteśmy w stanie przedstawić jej nazwę w wersji obsługiwanej przez serwery DNS:

W przypadku fałszywej domeny bravė.com Punycode wyglądał następująco:

Celem przestępców było skłonienie ofiary do pobrania i uruchomienia złośliwego oprogramowania:

Warto dodać, że ci sami atakujący posiadają również domeny takie jak sīgnal.com czy teleģram.com, które są wykorzystywane do rozpowszechniania malware’a:

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Domeny nie-ASCII to zło

    Zeby nie dac sie oszukac falszywkom jak tu opisana, warto sobie ustawic w about:config

    network.IDN_show_punycode true

    Odpowiedz
    • JuanPaul

      jeśli ktoś używa firefoxa :)

      Odpowiedz
      • Domeny nie-ASCII to zło

        Firefoxa, SeaMonkeya i pewnie innych wywodzacych sie z Mozilli.

        A w Chromie mozna podobnie ustawic?

        Odpowiedz
        • Martin
          Odpowiedz
          • Chrome chromole

            Dzieki.
            Przeczytalem.

            „Google Chrome decides if it should show Unicode or punycode for each domain label […]”
            i nastepuje 13 kilkolinijkowych” kryteriow.

            Ale juz poczatek jw.: „Google Chrome decides” wystarczyl mi, zeby podtrzymac moje zdanie, ze nie bede uzywal tego trojana od Google’a.

            To uzytkownik powinien moc decydowac, nie Chrom!
            W Firefoxie mam jednoznaczne ustawienie, a tego oczekuje od oprogramowania.

Odpowiedz