Malvertising hospedado pelo Google leva a site falso do KeePass que parece legítimo

 (arstechnica.com)
1 pontos por GN⁺ 2023-10-20 | 1 comentários | Compartilhar no WhatsApp
  • Foi revelado que o Google hospedou um anúncio malicioso que imita com precisão o gerenciador de senhas open source KeePass
  • O anúncio leva ao site falso do KeePass, ķeepass[.]info, e parece legítimo por causa de um certificado TLS válido e de uma URL visualmente idêntica à do site real do KeePass
  • O site falso é, na verdade, uma versão codificada de xn--eepass-vbb[.]info e distribui uma família de malware chamada FakeBat
  • O golpe foi descoberto por Jérôme Segura, diretor de inteligência de ameaças da fornecedora de segurança Malwarebytes
  • O anúncio foi pago por uma organização chamada Digital Eagle, cuja identidade foi verificada pelo Google
  • O site fraudulento usa um esquema de codificação chamado punycode para representar caracteres Unicode como texto ASCII padrão
  • Este não é o primeiro caso de golpe com malware usando punycode; no passado, ele já foi usado para imitar sites como brave.com e apple.com
  • Não há uma forma garantida de detectar anúncios maliciosos no Google ou URLs codificadas em punycode, mas os usuários podem inspecionar o certificado TLS para verificar se ele pertence ao site exibido na barra de endereços

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-20
Opinião no Hacker News
  • Artigo sobre o problema de anúncios maliciosos hospedados pelo Google levarem a um site falso do Keepass que parece legítimo
  • O anúncio foi pago pela Digital Eagle, um anunciante verificado pelo Google
  • O Google é criticado pela falta de resposta a e-mails e pela ausência de segurança como mecanismo de busca há mais de 2 anos
  • Alguns usuários decidiram bloquear determinados domínios porque os anúncios do Google levam clientes a sites de phishing
  • Há a sugestão de que intermediários de anúncios deveriam ter responsabilidade parcial por anúncios fraudulentos, ou que os anúncios deveriam perder agressivamente o anonimato
  • O artigo menciona uma tempestade quase perfeita de fraude, em que usuários são enganados por anúncios do Google e enganados novamente por domínios parecidos
  • O Google Chrome 59 corrigiu ataques de phishing com Punycode em 2017, mas há suspeitas de que ainda possam existir falhas
  • Menciona-se a crítica de que, com a guerra do Google contra bloqueadores de anúncios no YouTube, não dá para confiar que ele cumpra a responsabilidade de exibir anúncios seguros
  • Há exigências para que empresas cumpram leis de conhecimento do cliente em situações difíceis, como anúncios enganosos e autores de chamadas de spam
  • A alegação de que o Google remove anúncios fraudulentos imediatamente após receber denúncias é criticada, com a sugestão de que eles deveriam ser revisados antes de irem ao ar
  • Artigo aponta que até pessoas com alta consciência de segurança têm dificuldade para identificar o site falso do Keepass
  • O uso de Punycode é visto com desconfiança, com a sugestão de que ele é usado principalmente em domínios de spam
  • Foram propostas soluções para mitigar anúncios maliciosos, incluindo transparência e a exigência de que cada anúncio inclua o contato jurídico do anunciante