パスワード管理アプリ「KeePass」の偽サイトがGoogle広告によって検索結果のトップに表示される事態が発生

ユーザーをだますために人気の高いウェブサイトになりすますケースがありますが、これとマルバタイジングを組み合わせた攻撃が確認されています。攻撃者はオープンソースのパスワードマネージャーアプリであるKeePassの偽サイトを作成し、これをGoogle広告で配信していた模様です。

Clever malvertising attack uses Punycode to look like KeePass's official website
https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website

悪意のある攻撃者は、特殊な文字エンコーディングであるPunycodeを使用して、KeePassの公式サイトを模倣した偽サイトを作成しました。本物と偽物の視覚的な差はほとんどなく、見た目からは「間違いなく多くの人がだまされるであろうものになっていた」と、セキュリティソフトウェアを開発するMalwarebytesは指摘しています。

攻撃者はこの偽サイトをGoogle広告を使って宣伝しているため、Google検索で「KeePass」と検索すると、検索結果画面の最上部に悪意のある広告が表示されてしまう模様。赤枠で囲われた部分が悪意のある広告で、KeePassのロゴとURLを使用しているため、一見問題のないリンクに見えます。しかし、本物の公式サイトへのリンクは悪意のある広告の下に表示されているものです。

この悪意のある広告をクリックすると、クローキングサービス経由で複数回にわたってリダイレクトされます。攻撃者は最終的な宛先への条件付きリダイレクトを実行する一時ドメインを「keepasstacking.site」にセットアップしている模様。

ネットワークのトラフィックロゴを見ると、ウェブサイトがUnicode文字をASCIIに変換するためのPunycodeを使用していることがわかるそうです。これにより、ブラウザの検索バー部分には「keepass.info」というKeePassの公式サイトと同じURLが表示されているように見えるわけです。そのため、Malwarebytesは「自分が正しいウェブサイトにアクセスしていることを確認したいユーザーにとってこの欺瞞は完璧です」と指摘。ただし、よく見てみると偽サイトのURLの「k」部分には、小さな点があり、通常の「k」ではなく「ķ」であることがわかります。

この「ķeepass.info」をUnicodeに変換すると、実際のURLが「xn--eepass-vbb.info」であることがわかるそうです。

以下の画像の左がKeePassの公式サイトで、右が悪意のある攻撃者が作成した偽サイト。KeePassの公式サイトを見慣れた人以外なら簡単にだませてしまいそうな見た目です。

この偽サイトからKeePassをダウンロードしようとすると、デジタル署名されたマルウェアのインストーラーをダウンロードしてしまいます。

このインストーラーを分析すると、「FakeBat」というマルウェアファミリーに属する悪意のあるPowerShellコードを確認することができるそうです。

このスクリプトは人間の脅威アクターによる偵察の準備を整えるためのペイロードをダウンロードする前に、マルウェアのコマンド＆コントロールサーバーと通信し、新しい被害者をアドバタイズする模様。

Punycodeはハッカーなどにより長年悪用されてきており、今回の事例からも「ブランドのなりすましにPunycodeがいかに有効かを示している」とMalwarebytesは指摘。Googleのような検索エンジンを介したマルバタイジングはますます洗練化しており、エンドユーザーにとってプログラムをどこからダウンロードするかは、これまで以上に細心の注意を払う必要があるとも指摘しています。そのため、Malwarebytesは「ビジネス環境においては、従業員がソフトウェアインストーラーを安全に取得できる内部リポジトリを提供することをお勧めします」と述べました。

なお、Malwarebytesは「このインシデントをGoogleに報告しましたが、問題の広告は2023年10月18日時点でも掲載中であることを確認しているため、ユーザーに警告したいと思います」と記しています。