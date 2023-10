Onderzoekers waarschuwen voor malafide advertenties die bij de zoekmachine van Google worden getoond en naar de website van KeePass lijken te wijzen. In werkelijkheid gaat het om een malafide website met malware die door het gebruik van punycode op de legitieme KeePass-site lijkt. Dat meldt onderzoeker Jerome Segura van antivirusbedrijf Malwarebytes.

Het gebruik van malafide Google-advertenties om malware te verspreiden komt al lange tijd voor. In het geval van de aanval waarover Segura bericht wordt hierbij ook gebruikgemaakt van punycode. De officiële website van KeePass is KeePass.info. Wanneer gebruikers op de term 'keepass' googelen verschijnt bovenaan een gesponsord zoekresultaat dat naar KeePass.info lijkt te wijzen.

In werkelijkheid wijst de advertentie naar een domein dat begint met 'xn--eepass-vbb'. Door middel van punycode wordt dit in de browser als 'keepass' weergegeven met een afwijkende k. Dit is echter zeer slecht zichtbaar. Punycode is een manier om met een beperkte karakterset internationale domeinnamen weer te geven. Zo wordt "münich" weergegeven als "mnich-kva". Een internationale domeinnaam gebruikt de punycode-encoding en voegt er "xn--" voor. Zo wordt "münich.com" weergegeven als "xn--mnich-kva.com".

Segura merkt op dat het gebruik van punycode al jaren door aanvallers worden toegepast. Dezelfde techniek werd twee jaar geleden al ingezet om internetgebruikers die naar de Brave-browser zochten naar een malafide website te verwijzen. De onderzoeker stelt dat dit laat zien hoe effectief de methode blijft in combinatie met malafide advertenties. "Gebruikers worden eerst misleid via de Google-advertentie die helemaal legitiem lijkt en dan nog een keer via een lookalike domein." Het is dan ook belangrijk dat gebruikers goed opletten waar ze hun software vandaan downloaden, aldus Segura.