Fałszywe reklamy w Google, zamiast do obiecywanego oprogramowania, prowadzą do malware'u – raportuje Malwarebytes. W dodatku wykorzystują pewien trik, który dobrze maskuje intencje autorów.
Słyszeliście o Punycode? To specjalny format kodowania, który pozwala na konwersję znaków Unicode na ASCII, dzięki czemu możliwe staje się tworzenie domen, które mają na przykład charakterystyczne znaki diakrytyczne czy litery spoza alfabetu łacińskiego. Niestety prócz poliglotów korzystają na tym przestępcy.
Weźmy za przykład domenę xn--80ak6aa92e[.]com. Wydaje się chaotyczna i bezsensowna, prawda? Rzecz w tym, że jest to apple.com zapisane w cyrylicy i zależnie od przeglądarki i zainstalowanych czcionek, wyświetlana nazwa może być niemal identyczna z oryginałem.
Jak donoszą badacze z Malwarebytes, właśnie trik z punycode został wykorzystany, aby zamieszczać fałszywe reklamy oprogramowania w Google. Niemożliwe do wyłapania wzrokiem, prowadzą do szkodliwych witryn pobierania, gdzie w miejscu obiecywanych programów znajduje się trojan FakeBat, zasysający na dysk ofiary kolejny malware.
Badacze podkreślają, że atak jest zaskakująco dopracowany pod względem technicznym. Zastosowane mechanizmy m.in. odfiltrowują ruch botów, by utrudnić wykrycie, a także klasyfikują internautów pod kątem geograficznym. W rezultacie ruch kontrolny Google przekierowany zostaje na oficjalne strony poszczególnych programów.
Nie ma jednocześnie reguły, które narzędzia znajdą się w osi zainteresowania przestępców. W opracowaniu wyszczególniono wprawdzie menedżer haseł KeePass oraz edytor Notepad++, ale eksperci sami przyznają, że dobór aplikacji to kwestia drugorzędna. Wystarczy, że jest dość popularna, by jej wyszukiwano.
Źródło zdjęć: Jeramey Lende / Shutterstock
Źródło tekstu: Materiały prasowe, oprac. własne
