Méthode Punycode : cette publicité malveillante apparaît avec le nom de domaine officiel de KeePass !
Une campagne publicitaire malveillante prenant pour cible le gestionnaire de mots de passe KeePass a été identifiée ! Elle est particulièrement trompeuse, car elle apparait dans Google avec le nom officiel du site KeePass. Voici ce qu'il faut savoir !
Des cybercriminels ont abusé du système publicitaire de Google de manière à afficher un site malveillant en première position (car sponsorisé) lors de la recherche du mot clé "keepass". Pire encore, le résultat malveillant apparaît avec l'adresse "www.keepass.info" correspondante au site officiel de KeePass (à la différence près du "www" mais le domaine est le même) ! Comment est-ce possible ?
Malwarebytes, qui est à l'origine de cette découverte, précise dans son rapport que les cybercriminels ont utilisé la technique du Punycode pour masquer le domaine malveillant, en jouant sur l'encodage des caractères. De ce fait, quand vous cliquez sur le lien "www.keepass.info", vous accédez en réalité au domaine "xn--eepass-vbb[.]info" qui héberge le site des pirates, après avoir "subit" un ensemble de redirections pour échapper aux contrôles de sécurité.
L'utilisation de la méthode Punycode à des fins malveillantes, ce n'est pas nouveau. Par contre, ce qui l'est, c'est l'exploitation au travers du système Google Ads et ceci nous donne un résultat particulièrement trompeur.
En ce qui concerne la méthode Punycode, voici l'explication de Wikipédia : "Punycode transforme une chaîne Unicode en une chaîne ASCII de manière unique et réversible. Par exemple, bücher devient bcher-kva avec Punycode. De suite, le nom de domaine bücher.ch est représenté par xn--bcher-kva.ch." - Effectivement, ceci ressemble au nom de domaine réellement utilisé par les cybercriminels !
Un installeur de KeePass infecté par un malware
Au-delà du nom de domaine, le site malveillant est une copie du site officiel de KeePass assez bien faite. Il permet à l'utilisateur de télécharger KeePass, au format MSIX, signé avec un certificat : KeePass-2.55-Setup.msix.
Toutefois, cette version de KeePass est infectée par un script PowerShell malveillant (famille de malware FakeBat) qui est là pour établir une connexion avec le serveur C2 des cybercriminels. Ensuite, ils peuvent exécuter un payload à distance sur la machine.
Google a fait le nécessaire pour supprimer cette publicité malveillante, mais ce ne sera surement pas la dernière fois que cette technique est utilisée... D'ailleurs, le site BleepingComputer a repéré le domaine malveillant "keeqass.info". Méfiance.
Bonjour, excellent article !
Normalement les navigateurs sous Chromium affiche l’url punycode et non la version trompeuse,, voir même ils informent l’utilisateur que le site que l’on essaye de consulter semble faux (exemple : https://www.xn--80ak6aa92e[.]com ).
Cependant Firefox n’a pas fait ce choix (https://bugzilla.mozilla.org/show_bug.cgi?id=1332714) et il faut donc modifier un paramètre dans le about:config : network.IDN_show_punycode -> true
Ce qui permettra de ne pas se faire avoir 😀
Hello Lindwen,
Merci pour ta remarque intéressante, je ne connaissais pas cette subtilité au niveau des navigateurs. Donc, en principe, Chrome ne se laisse pas berner par cette publicité ?
Oui si tu vas avec Chrome sur l’url que j’ai indiqué (celle qui affiche apple.com) il y sera affiché une pop-up :
Vouliez-vous accéder à apple.com ?
Le site auquel vous tentez d’accéder semble faux. Les pirates tentent parfois d’imiter des sites Web en modifiant légèrement l’URL utilisée.
Si tu fais « Accéder à apple.com » il te redirige vers le vrai site d’apple.
Si tu fais « Ignorer » il te redirige vers le site et affiche l’url punycode : « xn--80ak6aa92e[.]com »
Alors que firefox lui si tu ne l’as pas configurer comme dans mon précédent message il t’affiche apple.com et ne te redirige pas sur le bon site.
bonjour,
Comment peut on savoir si la version de keepass que l’on utilise est la vrai ? Personnellement j’ai installer keepass il y a un moment et je ne me rappel plus a quoi ressemblait le site a ce moment là
c’est quand même assez terrible même dans l’IT on peut se faire berner facile (enfin faut cliquer sur les sponso, chose qui arrivent très rarement chez moi personnellement )
Sinon je crois que dans certain navigateur on peut afficher les punycode par défaut, ce que chrome fait en effet comme dit dans le commentaire plus haut, à faire manuellement sur d’autre navigateur ce qui est dommage (et dont je ne comprend pas trop l’intérêt de laisser en false..)