据外媒报道，不法分子正在谷歌广告中推广一个虚假KeePass官网，该网站使用Punycode来伪装成KeePass密码管理器的官方域名，以分发恶意软件。

Punycode是一种用于在互联网上处理非ASCII字符（西里尔字母、阿拉伯字母、希腊字母、汉字等）域名的编码方案。它的主要目的是将非ASCII字符转换为纯ASCII字符，以便在域名系统（DNS）中进行正常的解析和处理。

从截图中可以看到，伪造的KeePass官网出现在谷歌搜索结果首页。谷歌广告被滥用，其中显示着Keepass的合法域名（https://www.keepass.info），欺骗性非常强，即使是对于那些注重安全的用户，也很难发觉不对劲。

在重定向过滤机器人流量和沙盒后，点击恶意链接的用户最终将进入使用Punycode URL（https://xn--eepass-vbb[.]info/）的伪造KeePass网站。

实际上，该钓鱼网站的真实域名为“ķeepass.info”——似乎与KeePass官网没有任何区别？注意看的话，能够看到字符“ķ”下面还有一个微小的变音符号。然而大多数人未经提醒都不会发觉，可想而知会有多少人上当受骗。

点击该钓鱼网站上嵌入的任何下载链接的用户将收到一个名为“KeePass-2.55-Setup.msix”的经过数字签名的MSI安装程序，其中包含与FakeBat恶意软件加载器相关联的PowerShell脚本。

该案例提醒我们，在下载软件时，需要更加细致地进行辨别。在企业环境中，建议IT管理员提供内部软件库，以便员工能够从中安全获取软件安装程序。

编辑：左右里

资讯来源：bleepingcomputer

转载请注明出处和本文链接