Cyberkriminelle bewerben mittels Google Ads Anzeigen für den Download von KeePass. Die Domaine wurde aber mittels Punycode-Zeichen (Sonderzeichen) gefälscht. Die beworbene Seite liefert Malware aus.
Die Kriminellen haben einen internationalen Domain-Namen registriert. Allerdings wurde der Name mit Punycode-Zeichen registriert. Statt „Keypass.info“ hieß die Seite „Ķeypass.info“. Wenn Sie genau hinsehen, erkennen Sie den Strich unter dem K! Der Unterschied zwischen den URLs ist derart subtil, dass er viele Menschen täuschen dürfte.
Wer auf den Link klickte, landete erstmal bei einem Dienst, der Sandboxen, Bots und alle, die nicht als potenzielle Opfer durchgehen, ausfilterte. Hierzu haben die Akteure eine Domain zwischengeschaltet, welche die Umleitung zum endgültigen Ziel vornahm. Die Zielseite wurde kopiert und sah auf den ersten Blick überzeugend aus. Man erhielt auch die Software Keepass, jedoch war diese zusätzlich mit einer Maleware versetzt, die ebenfalls installiert wurde.
Malvertising ist zwischenzeitlich eine der größten Bedrohungen und ein sehr einfacher Weg, Zugriff zu Systemen zu erhalten.