Malafide Google-advertentie voor KeePass misleidt gebruikers via punycode
Onderzoekers waarschuwen voor malafide advertenties die bij de zoekmachine van Google worden getoond en naar de website van KeePass lijken te wijzen. In werkelijkheid gaat het om een malafide website met malware die door het gebruik van punycode op de legitieme KeePass-site lijkt. Dat meldt onderzoeker Jerome Segura van antivirusbedrijf Malwarebytes.
Het gebruik van malafide Google-advertenties om malware te verspreiden komt al lange tijd voor. In het geval van de aanval waarover Segura bericht wordt hierbij ook gebruikgemaakt van punycode. De officiële website van KeePass is KeePass.info. Wanneer gebruikers op de term 'keepass' googelen verschijnt bovenaan een gesponsord zoekresultaat dat naar KeePass.info lijkt te wijzen.
In werkelijkheid wijst de advertentie naar een domein dat begint met 'xn--eepass-vbb'. Door middel van punycode wordt dit in de browser als 'keepass' weergegeven met een afwijkende k. Dit is echter zeer slecht zichtbaar. Punycode is een manier om met een beperkte karakterset internationale domeinnamen weer te geven. Zo wordt "münich" weergegeven als "mnich-kva". Een internationale domeinnaam gebruikt de punycode-encoding en voegt er "xn--" voor. Zo wordt "münich.com" weergegeven als "xn--mnich-kva.com".
Segura merkt op dat het gebruik van punycode al jaren door aanvallers worden toegepast. Dezelfde techniek werd twee jaar geleden al ingezet om internetgebruikers die naar de Brave-browser zochten naar een malafide website te verwijzen. De onderzoeker stelt dat dit laat zien hoe effectief de methode blijft in combinatie met malafide advertenties. "Gebruikers worden eerst misleid via de Google-advertentie die helemaal legitiem lijkt en dan nog een keer via een lookalike domein." Het is dan ook belangrijk dat gebruikers goed opletten waar ze hun software vandaan downloaden, aldus Segura.
https://nervuri.net/zero-width
Als referentiepunt is hier een zichtbaar unicode-teken met positieve breedte: 00E9: _é_ Om te begrijpen waarom het niet kunnen weergeven ervan een probleem kan zijn, leest u Tracking via pasted text., oftewel platte tekst steganografie.
Ik kwam er niet meer in. Na wat zoeken kwam las ik deze thread:
https://www.security.nl/posting/512636/Re%3A+Vreemd+computerprobleem+BIOS+en+tijd%3F
En toen mijn BIOS tijd nagekeken en goedgezet.
Daarna een NTP sync gedaan. Toen kwam ik weer in Keepassxc. Ik had niet door dat de 2FA keys (sommigen) tijdgevoelig zijn.
Typ in de adresbalk van FF about:config en accepteer de waarschuwing.
Zoek daarna: network.IDN_show_punycode op en dubbelklik hierop.
Hierdoor gaat False over in True.
Dan ben je klaar en je kunt afsluiten.
Nu zie je het echte domein in de adresbalk van de bezochte website.
Dus een gespooft domein zoals "Keepass.info" laat na aanpassing van de punycode bijvoorbeeld "fake-domein.com" zien en dan weet je dat je dit domein moet vermijden.
Typ in de adresbalk van FF about:config en accepteer de waarschuwing.
Zoek daarna: network.IDN_show_punycode op en dubbelklik hierop.
Hierdoor gaat False over in True.
Dan ben je klaar en je kunt afsluiten.
Nu zie je het echte domein in de adresbalk van de bezochte website.
Dus een gespooft domein zoals "Keepass.info" laat na aanpassing van de punycode bijvoorbeeld "fake-domein.com" zien en dan weet je dat je dit domein moet vermijden.
Waarom staat "network.IDN_show_punycode" niet standaard aan?
Typ in de adresbalk van FF about:config en accepteer de waarschuwing.
Zoek daarna: network.IDN_show_punycode op en dubbelklik hierop.
Hierdoor gaat False over in True.
Dan ben je klaar en je kunt afsluiten.
Nu zie je het echte domein in de adresbalk van de bezochte website.
Dus een gespooft domein zoals "Keepass.info" laat na aanpassing van de punycode bijvoorbeeld "fake-domein.com" zien en dan weet je dat je dit domein moet vermijden.
Waarom staat "network.IDN_show_punycode" niet standaard aan?
Het zelfde geldt voor dom.event.clipboardevents.enabled. Deze staat standaard op TRUE, maar zelf zet ik die via dubbelklik op FALSE. Deze laatste instelling op FALSE voorkomt een copy past hack. Op een internetsite kun je dan wel een selectie uitvoeren en kopiëren, maar dan is wel een hack via deze methode uitgesloten.
Typ in de adresbalk van FF about:config en accepteer de waarschuwing.
Zoek daarna: network.IDN_show_punycode op en dubbelklik hierop.
Hierdoor gaat False over in True.
Dan ben je klaar en je kunt afsluiten.
Nu zie je het echte domein in de adresbalk van de bezochte website.
Dus een gespooft domein zoals "Keepass.info" laat na aanpassing van de punycode bijvoorbeeld "fake-domein.com" zien en dan weet je dat je dit domein moet vermijden.
Waarom staat "network.IDN_show_punycode" niet standaard aan?
Het zelfde geldt voor dom.event.clipboardevents.enabled. Deze staat standaard op TRUE, maar zelf zet ik die via dubbelklik op FALSE. Deze laatste instelling op FALSE voorkomt een copy past hack. Op een internetsite kun je dan wel een selectie uitvoeren en kopiëren, maar dan is wel een hack via deze methode uitgesloten.
Bedankt voor de tips!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.