diesem Blog-Beitrag<\/a> gelesen – ein Leser hat mich zum Wochenende nochmals darauf hingewiesen.<\/p>\n![\"Keepass](\"https:\/\/web.archive.org\/web\/20231019184041\/https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/10\/easset_upload_file64302_284125_e.png\" "\\"Keepass")
\nKeePass Fake-Download; Quelle: Malwarebytes<\/p>\n
Der Sachverhalt ist mit wenigen Zeilen erkl\u00e4rt. Wenn Nutzer nach dem Begriff \"KeePass\" (f\u00fcr den betreffenden Passwort-Manager) in der Google-Suchmaschine suchen lie\u00dfen, wurde ihnen die in obigem Bild gezeigte Anzeige als \"Sponsored\" angezeigt. Darunter findet sich die offizielle KeePass Webseite in den Suchergebnissen. Diese \"sponsored Ads\" sind bei Suchmaschinen wie Google oder Bing normal – ich nutze in den Suchergebnissen grunds\u00e4tzlich solche Treffer nicht. Zu hoch ist die Gefahr, auf irgend einen Bullshit hereinzufallen.<\/p>\n
Um solche Anzeigen zu schalten, muss der betreffende Anbieter aber bei Google ein Konto unterhalten. Im aktuellen Fall scheint die Verifizierung aber wohl nicht wirklich erfolgreich gewesen zu sein. Denn die Leute, die nach dem Passwort-Manager \"KeePass\" suchten, bekamen die obige Anzeige in den Suchergebnissen zu sehen. In der Anzeige wurde das KeePass-Logo gezeigt und es war nicht zu erkennen, dass da irgend etwas b\u00f6ses hinter der Anzeige lauert.<\/p>\n
Malwarebytes dokumentiert aber, dass Benutzer, die auf die Anzeige klickten, auf eine Seiten umgeleitet wurden, die Sandboxen, Bots und alle Personen herausfiltern soll, die eventuell erkennen, dass am Ziel Malware lauert. Die Bedrohungsakteure haben laut Malwarebytes eine tempor\u00e4re Domain unter keepasstacking[.]site eingerichtet, die die bedingte Umleitung zum endg\u00fcltigen Ziel durchf\u00fchrt:<\/p>\n
![\"Redirects\"](\"https:\/\/web.archive.org\/web\/20231019184041\/https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/10\/easset_upload_file55229_284125_e.png\" "\\"\\"")
\nRedirects; Quelle Malwerebytes<\/p>\n
Das in obigem Bild von Malwarebytes gezeigte Netzwerkverkehrsprotokoll legt offen, dass die Zielseite Punycode in der URL verwendet. Dies ist eine spezielle Kodierung zur Umwandlung von Unicode-Zeichen in ASCII. Erkennbar ist dies an der Zeichenkette \"xn..\" in der URL. Durch den Punycode werden aber Benutzer ggf. get\u00e4uscht, wenn sie pr\u00fcfen m\u00f6chten, ob wirklich die im Suchergebnis aufgef\u00fchrte Zielseite verlinkt ist.<\/p>\n
Die Malwarebytes-Sicherheitsforscher zeigen in ihrem Beitrag, dass die vermeintliche Zielseite keepass[.]info <\/em>in Wirklichkeit auf xn-eepass-vbb[dot]info<\/em> verlinkt. Auf der inzwischen abgeschalteten Webseite wurde dann aber ein mit Malware versuchter Download angeboten. Erkennen l\u00e4sst sich so etwas, indem man die URL der Webseite durch einen Punycode-Converter<\/a> decodieren l\u00e4sst, wie Malwarebytes im Blog-Beitrag aufzeigt.<\/p>\nIch denke aber, dass man das Ganze auch erkennen kann, indem man sich das SSL-Zertifikat der Ziel-URL im Browser anschaut. Der Malwarebytes-Beitrag enth\u00e4lt noch einige weitere Informationen zu diesem Fall, der immer mal wieder bei Suchmaschinen vorkommt.<\/p>\n","protected":false},"excerpt":{"rendered":"
Kleiner Hinweis in Sachen Sicherheit und warum es nicht verkehrt sein kann, die Augen beim Download von Software offen zu halten und misstrauisch zu bleiben. Es gab in der Google-Suche eine Malvertising-Kampagne, bei der in Suchergebnissen Links zu vermeintlichen Keepass-Download-Seiten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-287333","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287333","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287333"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287333\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287333"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287333"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287333"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Kleiner Hinweis in Sachen Sicherheit und warum es nicht verkehrt sein kann, die Augen beim Download von Software offen zu halten und misstrauisch zu bleiben. Es gab in der Google-Suche eine Malvertising-Kampagne, bei der in Suchergebnissen Links zu vermeintlichen Keepass-Download-Seiten angezeigt wurden. Dabei wurde \u00fcber sogenannte Puny-Codes verschleiert, dass es sich nicht um die legitime Keepass-Seite handelt. Wer dann den Download anstie\u00df, erhielt infizierte Programme angeboten.<\/p>\n