공식 도메인으로 사칭한 가짜 KeePass 사이트를 광고로 표시해 악성 코드를 배포하는 Google Ads 캠페인이 발견됐다.
보안업체 Malwarebytes는 사용자가 해당 광고 링크를 클릭하면 Punycode URL을 사용한 가짜 웹사이트에 접속하게 된다고 전했다. Punycode는 특수 문자가 포함된 텍스트를 ASCII 인코딩으로 변환시켜주는 형식으로, 공격자는 이점을 악용해 공식 사이트와 유사해보이는 유니코드로 변경 후 도메인 이름을 등록한다. 해당 캠페인은 keepass.info의 k 문자와 비슷한 ķ 유니코드를 사용해 ķeepass.info로 도메인 이름을 설정했다. 사용자는 해당 링크를 기존 도메인과 동일하다고 인지 후 접속하게 되고 다운로드를 클릭하면 FakeBat 악성코드가 설치된다.
외신은 공식 도메인에 접속했는지 재차 확인하고 사이트가 확실하지 않은 경우 문서, Wikipedia 페이지 및 공식 소셜 미디어 채널을 확인하는 것을 권장했다.
사진 출처 : Malwarebytes
출처
[1] Malwarebytes (2023.10.18) – Clever malvertising attack uses Punycode to look like KeePass's official website
'최신 보안 동향' 카테고리의 다른 글
| CISA와 FBI의 AndroxGh0st 악성코드 주의 권고 (20) | 2024.01.19 |
|---|---|
| Zimbra 제로데이 취약점을 이용한 국제 정부 기관 공격 (0) | 2023.11.21 |
| 미국 적십자를 사칭하는 AtlasCross 백도어 악성코드 (0) | 2023.10.04 |
| 빠른 속도로 전파 중인 P2PInfect 악성코드 (0) | 2023.09.22 |
| YouTube 앱을 사칭해 감시하는 CapraRAT 악성코드 (0) | 2023.09.21 |