Allarme malvertising: falso sito di KeePass pubblicizzato su Google

Da anni i cybercriminali sfruttano marchi conosciuti per trarre in inganno le malcapitate vittime.

Questo tipo di fenomeno, prevede spesso l’utilizzo di canali pubblicitari leciti per sponsorizzare siti Web falsi, che sfruttano brand famosi per scopi criminosi. Questo fenomeno, noto come malverstising, ha di recente colpito il gestore di password open source noto come KeePass.

Attraverso una campagna pubblicitaria su Google, alcuni criminali informatici hanno sponsorizzato un dominio simile a quello ufficiale, sfruttando il sistema di codifica Punycode. Nello specifico, è stato utilizzato un carattere simile alla “k” di KeePass per trarre in inganno gli utenti (ovvero “ķ“).

Anche internamente, il sito è stato realizzato con una grafica che lo rende pressoché identico a quello originale.

Falso sito di KeePass: ecco come i cybercriminali stanno ingannano le vittime

L’annuncio dannoso viene visualizzato quando si esegue una ricerca su Google per “keepass” e, una volta proposto in SERP il risultato sponsorizzato, questo si presenta con logo e URL ufficiali: di fatto, risulta impossibile distinguere il sito falso da quello reale.

Le persone che fanno clic sull’annuncio verranno reindirizzate tramite un servizio di cloaking che ha lo scopo di filtrare istanze sandbox, bot e chiunque non sia considerato come una potenziale vittima interessante. Gli autori delle minacce hanno creato un dominio temporaneo che esegue il reindirizzamento condizionale alla destinazione finale, ovvero il sito con la lettera “ķ“.

Le vittime che cercano di scaricare KeePass, andranno a ritrovarsi con un programma di installazione .msix dannoso dotato di firma digitale. L’installazione del software, di fatto, porterà ad infettare la macchina con un malware della famiglia FakeBat.

Tutto ciò dimostra come il malvertising sia una pratica tanto diffusa quanto pericolosa. Per gli utenti è dunque molto importante prestare attenzione dove si sta scaricando un determinato software. In tal senso, va fatta grande attenzione all’URL del sito da cui si sta effettuando il download e, per precauzione, è bene sempre scansionare quanto appena scaricato con un antivirus adeguato.