L’attaque de publicité malveillante utilise le caractère ASCII dans le nom de domaine
Paume faciale : Punycode est une technique de codage conçue pour représenter les caractères Unicode dans le jeu de caractères ASCII plus simple. Lorsqu’ils sont utilisés conjointement avec des adresses Web, les caractères Punycode offrent aux cybercriminels une méthode puissante pour cibler de nouvelles victimes parmi les internautes sans méfiance.
Les techniques améliorées par Punycode pour propager des logiciels malveillants et des cyberattaques sont connues depuis 2017, lorsqu’un développeur Web a créé un site de validation de principe qui ressemblait à apple.com. Les Punycodes restent très efficaces aujourd’hui, en particulier lorsqu’ils sont utilisés dans une campagne publicitaire malveillante qui imite fidèlement des sites Web légitimes.
Selon Malwarebytes Labs, une campagne récente a ciblé le site Web KeePass à l’aide d’une publicité malveillante hébergée sur Google. Les utilisateurs ont été trompés par une fausse page Web se faisant passer pour le site officiel du gestionnaire de mots de passe open source KeePass. Cette campagne a exploité un caractère Punycode pour créer une imitation convaincante de la vraie page Web.
Les analystes de Malwarebytes ont signalé que la publicité malveillante avait été diffusée en réponse à des requêtes de recherche « keepass ». Il était particulièrement trompeur car il affichait le logo et l’URL officiels de KeePass, apparaissant avant les résultats de recherche organiques. Cette apparence trompeuse le rendait presque impossible à distinguer du site légitime. Lorsque les utilisateurs cliquaient sur l’annonce, ils étaient redirigés vers une page Web apparemment sécurisée (HTTPS) conçue pour imiter le site Web officiel de KeePass.
Malwarebytes a découvert que le faux site Web utilisait Punycode pour remplacer le « k » initial du nom de domaine. Bien que Punycode soit utilisé de manière subtile, il dissimule efficacement la nature malveillante du véritable site Web, qui est représenté par un point d’information « xn--eepass-vbb ».
Ce site frauduleux propose un programme d’installation .msix malveillant à la place du téléchargement officiel de KeePass, qui contient un script PowerShell associé à la famille de logiciels malveillants FakeBat. Ce script est destiné à se connecter à un serveur de commande et de contrôle géré par des cybercriminels, leur permettant de télécharger une nouvelle charge utile de malware sur le système compromis.
Les acteurs malveillants utilisent depuis des années des caractères Punycode avec des noms de domaine internationalisés dans des campagnes de phishing, comme l’a noté Malwarebytes. L’affaire récente impliquant KeePass démontre l’efficacité continue de cette technique, notamment lorsqu’elle est combinée à des campagnes d’usurpation d’identité de marque menées via des publicités malveillantes hébergées par Google. Pour atténuer la menace, les utilisateurs peuvent saisir manuellement l’URL officielle dans leur navigateur ou éviter de cliquer sur les messages « sponsorisés » affichés avant les véritables résultats des moteurs de recherche lorsqu’ils recherchent des téléchargements de logiciels.
