16/12/2024

Actu CybersécuritéLogiciel - OS

Méthode Punycode : cette publicité malveillante apparaît avec le nom de domaine officiel de KeePass !

Une campagne publicitaire malveillante prenant pour cible le gestionnaire de mots de passe KeePass a été identifiée ! Elle est particulièrement trompeuse, car elle apparait dans Google avec le nom officiel du site KeePass. Voici ce qu'il faut savoir !

Des cybercriminels ont abusé du système publicitaire de Google de manière à afficher un site malveillant en première position (car sponsorisé) lors de la recherche du mot clé "keepass". Pire encore, le résultat malveillant apparaît avec l'adresse "www.keepass.info" correspondante au site officiel de KeePass (à la différence près du "www" mais le domaine est le même) ! Comment est-ce possible ?

Publicité malveillante KeePass avec Punycode Octobre 2023
Source : Malwarebytes

Malwarebytes, qui est à l'origine de cette découverte, précise dans son rapport que les cybercriminels ont utilisé la technique du Punycode pour masquer le domaine malveillant, en jouant sur l'encodage des caractères. De ce fait, quand vous cliquez sur le lien "www.keepass.info", vous accédez en réalité au domaine "xn--eepass-vbb[.]info" qui héberge le site des pirates, après avoir "subit" un ensemble de redirections pour échapper aux contrôles de sécurité.

L'utilisation de la méthode Punycode à des fins malveillantes, ce n'est pas nouveau. Par contre, ce qui l'est, c'est l'exploitation au travers du système Google Ads et ceci nous donne un résultat particulièrement trompeur.

En ce qui concerne la méthode Punycode, voici l'explication de Wikipédia : "Punycode transforme une chaîne Unicode en une chaîne ASCII de manière unique et réversible. Par exemple, bücher devient bcher-kva avec Punycode. De suite, le nom de domaine bücher.ch est représenté par xn--bcher-kva.ch." - Effectivement, ceci ressemble au nom de domaine réellement utilisé par les cybercriminels !

Un installeur de KeePass infecté par un malware

Au-delà du nom de domaine, le site malveillant est une copie du site officiel de KeePass assez bien faite. Il permet à l'utilisateur de télécharger KeePass, au format MSIX, signé avec un certificat : KeePass-2.55-Setup.msix.

Toutefois, cette version de KeePass est infectée par un script PowerShell malveillant (famille de malware FakeBat) qui est là pour établir une connexion avec le serveur C2 des cybercriminels. Ensuite, ils peuvent exécuter un payload à distance sur la machine.

Source : Malwarebytes

Google a fait le nécessaire pour supprimer cette publicité malveillante, mais ce ne sera surement pas la dernière fois que cette technique est utilisée... D'ailleurs, le site BleepingComputer a repéré le domaine malveillant "keeqass.info". Méfiance.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

5 commentaires sur “Méthode Punycode : cette publicité malveillante apparaît avec le nom de domaine officiel de KeePass !

  • Bonjour, excellent article !
    Normalement les navigateurs sous Chromium affiche l’url punycode et non la version trompeuse,, voir même ils informent l’utilisateur que le site que l’on essaye de consulter semble faux (exemple : https://www.xn--80ak6aa92e[.]com ).
    Cependant Firefox n’a pas fait ce choix (https://bugzilla.mozilla.org/show_bug.cgi?id=1332714) et il faut donc modifier un paramètre dans le about:config : network.IDN_show_punycode -> true
    Ce qui permettra de ne pas se faire avoir 😀

    Répondre
    • Hello Lindwen,
      Merci pour ta remarque intéressante, je ne connaissais pas cette subtilité au niveau des navigateurs. Donc, en principe, Chrome ne se laisse pas berner par cette publicité ?

      Répondre
      • Oui si tu vas avec Chrome sur l’url que j’ai indiqué (celle qui affiche apple.com) il y sera affiché une pop-up :

        Vouliez-vous accéder à apple.com ?
        Le site auquel vous tentez d’accéder semble faux. Les pirates tentent parfois d’imiter des sites Web en modifiant légèrement l’URL utilisée.

        Si tu fais « Accéder à apple.com » il te redirige vers le vrai site d’apple.
        Si tu fais « Ignorer » il te redirige vers le site et affiche l’url punycode : « xn--80ak6aa92e[.]com »

        Alors que firefox lui si tu ne l’as pas configurer comme dans mon précédent message il t’affiche apple.com et ne te redirige pas sur le bon site.

        Répondre
  • bonjour,

    Comment peut on savoir si la version de keepass que l’on utilise est la vrai ? Personnellement j’ai installer keepass il y a un moment et je ne me rappel plus a quoi ressemblait le site a ce moment là

    Répondre
  • c’est quand même assez terrible même dans l’IT on peut se faire berner facile (enfin faut cliquer sur les sponso, chose qui arrivent très rarement chez moi personnellement )

    Sinon je crois que dans certain navigateur on peut afficher les punycode par défaut, ce que chrome fait en effet comme dit dans le commentaire plus haut, à faire manuellement sur d’autre navigateur ce qui est dommage (et dont je ne comprend pas trop l’intérêt de laisser en false..)

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.