Розповсюджувачі вірусів навчилися непомітно залучати користувачів на підроблені сайти через пошук Google

У рекламній мережі Google Ads експерти компанії Malwarebytes , відповідальної за розробку однойменного антивірусу, повідомили про новий тип атаки, спрямовану на залучення довірливих користувачів Мережі на підроблені ресурси, адреси яких максимально схожі на адреси сайтів сумлінних розробників ПЗ.

Реклама в пошукових системах має відповідну позначку, але зовні практично не відрізняється від органічної видачі - в результаті неуважний користувач ризикує перейти за посиланням в оголошенні та потрапити на сайт, створений шахраями чи розповсюджувачами вірусів. Зловмисники не просто створюють копії сайтів сумлінних розробників ПЗ, а й підробляють їх URL-адреси: компанія Malwarebytes повідомила, що вони розміщують оголошення в мережі Google Ads, замінюючи деякі символи дуже схожими.

Для цього вони використовують Punycode — стандартний метод перетворення символів Unicode в послідовності ACE, які використовуються у веб-адресах. Ця тактика називається «атакою омографів» — в адресах використовуються символи, які не входять до базового латинського алфавіту: літери кирилиці, грецької та арабської мов, навіть китайські ієрогліфи. Яскравим прикладом стала підроблена реклама менеджера паролів KeePass.

Раніше зловмисники використовували піддомени або альтернативні доменні зони, щоб обманом змусити користувачів переходити за цими посиланнями, але застосування Punycode може обдурити навіть уважного та технічно просунутого користувача. Як один із прикладів наводиться символ «ḳ» ( U+1E33 ), який відрізняється від звичайної латинської k маленькою точкою знизу — її легко пропустити або прийняти за плямку на моніторі.

Тактика "атаки омографів" відома досить давно, але вона вперше помічена в рекламній мережі Google. На жаль, простого вирішення проблеми немає — лише уважніше ставитися до пошукової реклами або вводити відомі адреси самостійно, уникаючи друкарських помилок, які, до речі, теж є відомою зброєю в руках шахраїв.