Malwarebytesは10月18日(米国時間)、「Clever malvertising attack uses Punycode to look like KeePass's official website」において、パスワードマネージャ「KeePass」の広告に偽装した悪意のあるGoogle広告を発見したとして、注意を呼び掛けた。このマルバタイジング攻撃では国際化ドメイン名を悪用しているため、多くの人がだまされる可能性があるという。なお、Malwarebytesはこの件についてGoogleに通報したものの、記事公開時までに広告が削除されていないとしてGoogleの利用者に注意を呼びかけている。

  • Clever malvertising attack uses Punycode to look like KeePass's official website

    Clever malvertising attack uses Punycode to look like KeePass's official website

Malwarebytesによると、この広告はGoogle検索から「keepass」を検索することで表示されるという。Malwarebytesが確認した悪意のある広告は次の図のようになっており、正規のKeePass検索結果と悪意のある広告に見かけ上の不審な点はなく、ダウンロードを急ぐユーザは悪意のある広告のリンクをクリックする可能性がある。

  • KeePassに偽装した悪意のある広告 - 提供:Malwarebytes

    KeePassに偽装した悪意のある広告 咽喉:Malwarebytes

この悪意のある広告にアクセスすると、複数のリダイレクトを通じて悪意のあるサイト「hxxps://ķeepass[.]info」にアクセスすることになる。このURLは一見すると正規の「hxxps://keepass[.]info」に見えるが、kの文字の下に点が打たれており異なるURLであることがわかる。この悪意のあるサイトのURLは、国際化ドメイン名が使われておりPunycode(UnicodeのコードポイントをASCII文字のみを使用して表現する符号化方式)で表現すると「xn--eepass-vbb[.]info」となる。

この悪意のあるサイトからKeePassをダウンロードすると、デジタル署名された悪意のある.msixインストーラがダウンロードされる。このインストーラには「FakeBat」マルウェアファミリーに属する悪意のあるPowerShellクリプトが含まれており、コマンド&コントロール(C2: Command and Control)サーバと通信して追加のペイロードをダウンロードするとされる。

このマルバタイジング攻撃では、正規の広告と見分けのつかないGoogle広告と、そのアクセス先URLの2度にわたってだまされることになる。このような見た目での判断が困難な攻撃は、フィッシング詐欺に対する教育で対処することが難しく、ほかの防衛策を講じることが求められる。Malwarebytesは企業や組織の管理者に対して、従業員がソフトウェアを安全に取得できる内部リポジトリを提供する方法で対策することを推奨している。