Une publicité malveillante hébergée par Google redirige vers un faux site Keepass qui paraît authentique

 (arstechnica.com)
1 points par GN⁺ 2023-10-20 | 1 commentaires | Partager sur WhatsApp
  • Google aurait hébergé une publicité malveillante imitant avec précision le gestionnaire de mots de passe open source Keepass
  • La publicité renvoie vers un faux site Keepass, ķeepass[.]info, qui semble authentique en raison d'un certificat TLS valide et d'une URL ressemblant à celle du véritable site Keepass
  • Le faux site est en réalité une version encodée de xn--eepass-vbb[.]info et distribue une famille de logiciels malveillants appelée FakeBat
  • Cette arnaque a été révélée par Jérôme Segura, responsable de l'équipe de renseignement sur les menaces chez le fournisseur de sécurité Malwarebytes
  • La publicité a été payée par une organisation nommée Digital Eagle, dont Google a vérifié l'identité
  • Le site frauduleux utilise un système d'encodage appelé punycode pour représenter des caractères Unicode sous forme de texte ASCII standard
  • Ce n'est pas le premier cas d'arnaque malveillante utilisant le punycode ; il a déjà servi par le passé à usurper des sites comme brave.com et apple.com
  • Il n'existe pas de moyen infaillible de détecter les publicités Google malveillantes ou les URL encodées en punycode, mais les utilisateurs peuvent vérifier les certificats TLS pour confirmer qu'ils appartiennent bien au site affiché dans la barre d'adresse

À lire aussi

1 commentaires

 
GN⁺ 2023-10-20
Avis Hacker News
  • Un article sur le problème de publicités malveillantes hébergées par Google qui mènent vers un faux site Keepass paraissant authentique
  • Les publicités ont été payées par Digital Eagle, un annonceur validé par Google
  • Google est critiqué pour son absence de réponse aux e-mails et pour son manque de sûreté en tant que moteur de recherche depuis plus de deux ans
  • Certains utilisateurs ont décidé de bloquer certains domaines, car les publicités de Google redirigent les clients vers des sites de phishing
  • Il est suggéré que les intermédiaires publicitaires portent une part de responsabilité pour les publicités frauduleuses, ou que les publicités perdent agressivement leur anonymat
  • L’article évoque une tempête d’arnaque presque parfaite, où les utilisateurs sont trompés via les publicités Google, puis à nouveau via des domaines similaires
  • Google Chrome 59 a corrigé les attaques de phishing en Punycode en 2017, mais on soupçonne qu’il puisse encore subsister des failles
  • Il est fait mention de critiques selon lesquelles on ne peut pas faire confiance à Google pour afficher des publicités sûres, au vu de sa guerre contre les bloqueurs de pub sur YouTube
  • Il est demandé que les entreprises respectent des lois les obligeant à connaître leurs clients dans des situations difficiles à interpréter, comme les publicités trompeuses et les appelants de spam téléphonique
  • L’affirmation selon laquelle Google supprimerait immédiatement les publicités frauduleuses dès leur signalement est critiquée, et il est suggéré qu’elles devraient être examinées avant leur publication
  • Un article explique que même pour des personnes très sensibilisées à la sécurité, il est difficile de repérer le faux site Keepass
  • L’usage du Punycode est mis en doute, avec l’idée qu’il est principalement utilisé par des domaines de spam
  • Des solutions pour atténuer les publicités malveillantes sont proposées, notamment davantage de transparence et l’inclusion, dans chaque publicité, des coordonnées juridiques de l’annonceur