Kleiner Hinweis in Sachen Sicherheit und warum es nicht verkehrt sein kann, die Augen beim Download von Software offen zu halten und misstrauisch zu bleiben. Es gab in der Google-Suche eine Malvertising-Kampagne, bei der in Suchergebnissen Links zu vermeintlichen Keepass-Download-Seiten angezeigt wurden. Dabei wurde über sogenannte Puny-Codes verschleiert, dass es sich nicht um die legitime Keepass-Seite handelt. Wer dann den Download anstieß, erhielt infizierte Programme angeboten.
Es war erneut eine der unschönen Begebenheiten des Internetzeitalters. Google wurde kürzlich durch eine Malvertising-Kampagne ausgetrickst, die unaufmerksame Nutzer bei der Google-Suche Malware unterjubeln wollte. Ich hatte es vorige Woche bereits bei Malwarebytes in diesem Blog-Beitrag gelesen – ein Leser hat mich zum Wochenende nochmals darauf hingewiesen.
KeePass Fake-Download; Quelle: Malwarebytes
Der Sachverhalt ist mit wenigen Zeilen erklärt. Wenn Nutzer nach dem Begriff „KeePass“ (für den betreffenden Passwort-Manager) in der Google-Suchmaschine suchen ließen, wurde ihnen die in obigem Bild gezeigte Anzeige als „Sponsored“ angezeigt. Darunter findet sich die offizielle KeePass Webseite in den Suchergebnissen. Diese „sponsored Ads“ sind bei Suchmaschinen wie Google oder Bing normal – ich nutze in den Suchergebnissen grundsätzlich solche Treffer nicht. Zu hoch ist die Gefahr, auf irgend einen Bullshit hereinzufallen.
Um solche Anzeigen zu schalten, muss der betreffende Anbieter aber bei Google ein Konto unterhalten. Im aktuellen Fall scheint die Verifizierung aber wohl nicht wirklich erfolgreich gewesen zu sein. Denn die Leute, die nach dem Passwort-Manager „KeePass“ suchten, bekamen die obige Anzeige in den Suchergebnissen zu sehen. In der Anzeige wurde das KeePass-Logo gezeigt und es war nicht zu erkennen, dass da irgend etwas böses hinter der Anzeige lauert.
Malwarebytes dokumentiert aber, dass Benutzer, die auf die Anzeige klickten, auf eine Seiten umgeleitet wurden, die Sandboxen, Bots und alle Personen herausfiltern soll, die eventuell erkennen, dass am Ziel Malware lauert. Die Bedrohungsakteure haben laut Malwarebytes eine temporäre Domain unter keepasstacking[.]site eingerichtet, die die bedingte Umleitung zum endgültigen Ziel durchführt:
Redirects; Quelle Malwerebytes
Das in obigem Bild von Malwarebytes gezeigte Netzwerkverkehrsprotokoll legt offen, dass die Zielseite Punycode in der URL verwendet. Dies ist eine spezielle Kodierung zur Umwandlung von Unicode-Zeichen in ASCII. Erkennbar ist dies an der Zeichenkette „xn..“ in der URL. Durch den Punycode werden aber Benutzer ggf. getäuscht, wenn sie prüfen möchten, ob wirklich die im Suchergebnis aufgeführte Zielseite verlinkt ist.
Die Malwarebytes-Sicherheitsforscher zeigen in ihrem Beitrag, dass die vermeintliche Zielseite keepass[.]info in Wirklichkeit auf xn-eepass-vbb[dot]info verlinkt. Auf der inzwischen abgeschalteten Webseite wurde dann aber ein mit Malware versuchter Download angeboten. Erkennen lässt sich so etwas, indem man die URL der Webseite durch einen Punycode-Converter decodieren lässt, wie Malwarebytes im Blog-Beitrag aufzeigt.
Ich denke aber, dass man das Ganze auch erkennen kann, indem man sich das SSL-Zertifikat der Ziel-URL im Browser anschaut. Der Malwarebytes-Beitrag enthält noch einige weitere Informationen zu diesem Fall, der immer mal wieder bei Suchmaschinen vorkommt.
„Im aktuellen Fall scheint die Verifizierung aber wohl nicht wirklich erfolgreich gewesen zu sein.“
Wie läuft den die Verifizierung bei Google genau ab? Strenggenommen müsste doch jede Anzeige oder jede Änderung von Google verifiziert werden, damit es halbwegs sicher ist.
Wie verifiziert man sich überhaupt gegenüber Google, dass einem die Webseite gehört?
Es klingt so als gäbe es eine Verifizierung für den Sachverhalt, aber es muss doch sicher nur das Google Konto verifiziert werden?
Ich hab ein Google ads konto. Verifizierung? Du bist witzig, da wird gar nichts verifiziert.
Das einzige was google überprüft ist ob sexueller Content in der Anzeige vorhanden ist, der sie womöglich Geld kostet Alles andere wird nicht verifiziert.
Genau das gleiche auf anderen Platformen wie Facebook oder Tiktok auf der Werbung geschalten werden kann.
Da wird nur Reagiert, aber nicht proaktiv geprüft
Ich muss zugeben, ich war verwirrt, als ich die Überschrift las. Ich habe dann aber einfach aus „Punny-Code“ „punycode“ gemacht und schon war mir klar, worum es ging. Ist übrigens auch nichts Neues. Das wurde schon vor Jahren genutzt, um mehr oder minder erfolgreich Paypal-Zugangsdaten und ähnliches abzugreifen.
Günter, hattest Du da nicht irgendwann mal einen Beitrag zu? Tante Google weiß einfach alles:
Phishing mit Unicode Domains
Ist korrigiert – danke.
wie kann es sein, dass die Subdomain ‚[www].keepass[.]info‘ in der Anzeige aufscheint und bösartig ist? die Subdomain wird ja sicher auch vom DNS Admin von keepass.info verwaltet. Oder zeigt Google ADs eine falsche URL an?
(URL bearbeitet, damit nicht klickbar)
„Oder zeigt Google ADs eine falsche URL an?“
Google zeigt grundsätzlich ‚falsche‘ URLs an, denn die angezeigte Suchergebnis-URL wird verbogen, um sie zur Datensammlung zu missbrauchen.
Beispiel: Sie suchen nach „Borncity“.
Darstellung: *
tatsächlich hinterlegte URL: **
(jeweils „[.]“ durch „.“ ersetzen)
Bei Anzeigen geht es noch einen Schritt weiter, dann wird die Google URL aus ** auf den Vermarkter (im Beispiel des Artikels auf kochava.com) umgeleitet und erst von dort aus auf die eigentliche Ziel-URL.
* https://www[.]borncity[.]com › blog
** https://www[.]google[.]com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwiW4IDZ-IuCAxXNCewKHerMD4MQFnoECBIQAQ&url=https%3A%2F%2Fwww[.]borncity[.]com%2Fblog%2F&usg=AOvVaw0YFpntVPhvJsjkdfMH1oy4&opi=89978449
Danke für die Erklärung, war mir nicht bewusst – meide auch wie Hr. Born die Google ADs Sponsored Links.
| Erkennen lässt sich so etwas, indem man die URL der Webseite durch einen
| Punycode-Converter decodieren lässt, wie Malwarebytes im Blog-Beitrag aufzeigt.
Im Firefox geht es über about:config und dort dann die Variable
network.IDN_show_punycode
auf „True“ setzen.
Steht bei mir defaultmäßig auf „true“ in Waterfox. Das finde ich sehr gut!
@M.D.: Danke für den Hinweis!
Das ganze betrifft nicht nur Keepass. Ich habe letztens eine Google-AD für Notepad++ gesehen, die auch auf eine Punycode URL gezeigt hat, die der originalen zum Verwechseln ähnlich sieht. Auch sieht die Seite wie das Original aus, aber auf der Download-Seite war die 8.5.7 und nicht die 8.5.8 die aktuellste Version und hinter dem Download-Link steckte eine ISO-Datei statt der Link zu den Dateien auf Github. Ich denke, diese Punycode-ADs wird es noch für einige andere populäre Programme geben.