Anuncio malicioso alojado en Google redirige a un sitio falso de Keepass que parece real
(arstechnica.com)- Aprovechando la costumbre de confiar en los anuncios de búsqueda y en los sitios oficiales, un anuncio de Google que se hacía pasar por Keepass redirigía a un sitio falso capaz de engañar incluso a usuarios familiarizados con la seguridad
- Tras hacer clic, la barra de direcciones mostraba algo parecido a ķeepass[.]info, pero el dominio real era xn--eepass-vbb[.]info, codificado en punycode, y distribuía el malware FakeBat
- El anuncio se mostró desde el sábado hasta el miércoles, y el anunciante aparecía como Digital Eagle, cuya identidad había sido verificada por Google
- La combinación de un anuncio de Google, una URL de apariencia legítima y un certificado TLS válido hacía difícil determinar la suplantación solo revisando la barra de direcciones
- Los 5 principales navegadores redirigen al sitio de suplantación al ingresar ķeepass[.]info, por lo que, ante la duda, conviene escribir la URL directamente en una pestaña nueva o verificar el propietario del certificado TLS
Combinación de anuncios de Google y un sitio que suplanta a Keepass
- En Google se publicó un anuncio malicioso que parecía un anuncio de Keepass
- El anuncio se hacía pasar por una promoción del gestor de contraseñas de código abierto Keepass
- Como se trataba de un anuncio de Google y se sabe que Google revisa los anuncios, los usuarios podían confiar en él más fácilmente
- Al hacer clic, la barra de direcciones mostraba ķeepass[.]info, que parecía el sitio real de Keepass
- El sitio oficial real de Keepass es keepass.info
Dominio similar creado con punycode
- ķeepass[.]info, tal como aparece en la barra de direcciones, en realidad representa xn--eepass-vbb[.]info, una notación codificada
- Este sitio distribuye una familia de malware rastreada como FakeBat
- El engaño usa el método de codificación punycode
- punycode permite representar caracteres Unicode como texto ASCII estándar
- En este caso se usa un carácter con una marca que parece una pequeña coma debajo de la k
- Incluso cuenta con un certificado TLS válido, por lo que, al mirar solo la barra de direcciones, puede parecer fácilmente un sitio legítimo
Información de transparencia del anuncio y medidas de Google
- El Google Ad Transparency Center muestra que el anuncio estuvo activo desde el sábado hasta el miércoles
- La entidad que pagó el anuncio figura como una organización llamada Digital Eagle
- En la página de transparencia, Digital Eagle aparece como un anunciante cuya identidad fue verificada por Google
- Un representante de Google afirmó en un correo posterior a la publicación que la empresa había eliminado el anuncio de acuerdo con sus términos
Análisis de Malwarebytes
- Jérôme Segura, responsable de inteligencia de amenazas de Malwarebytes, resumió la estructura como un engaño en dos etapas para el usuario
- Primero, cae en un anuncio de Google que parece completamente normal
- Luego, vuelve a caer en un dominio similar que parece un sitio legítimo
- Malwarebytes reveló esta estafa en una publicación del miércoles
- La combinación de un sitio web cuya URL parece casi idéntica a la del anuncio de Google crea un fuerte efecto de suplantación
Casos maliciosos anteriores con punycode
- Las estafas de malware que abusan de punycode existen desde hace mucho tiempo
- Hace 2 años, estafadores usaron anuncios de Google para dirigir a los usuarios a un sitio que se veía casi idéntico a brave.com
- Ese sitio distribuía una versión maliciosa falsa del navegador
- En 2017, un desarrollador de aplicaciones web creó un sitio de prueba de concepto que parecía apple.com, lo que hizo que la técnica de punycode recibiera amplia atención
Métodos que los usuarios pueden verificar
- No existe una forma segura de detectar anuncios maliciosos de Google o URLs codificadas con punycode
- Si se ingresa ķeepass[.]info en los 5 principales navegadores, todos redirigen al sitio de suplantación
- En caso de sospecha, se puede abrir una pestaña nueva del navegador y escribir la URL directamente
- Cuando la URL es larga, escribirla directamente no siempre es un método realista
- Otra opción es inspeccionar el certificado TLS para comprobar si el sitio mostrado en la barra de direcciones coincide con el propietario del certificado
1 comentarios
Opiniones en Hacker News
Google seguramente habrá verificado la identidad de Digital Eagle. La verificación de identidad de Google funciona cobrando dinero: si pagas, quedas verificado.
También me genera dudas la parte de “un representante de Google no respondió de inmediato al correo”. No sé si en Google hay personas reales que respondan correos; en más de 10 años no he visto una respuesta. Incluso al reportar phishing y spam, dudo que realmente se procese algo.
Sinceramente, el mundo ya debería alejarse de Google. Desde hace al menos más de 2 años es difícil usarlo de forma segura como motor de búsqueda.
Después de que clientes fueran enviados a sitios de phishing mediante anuncios de Google, decidí bloquear los siguientes dominios en todas las redes que administro:
googlesyndication.com
googleadservices.com
googletagservices.com
googletagmanager.com
google-analytics.com
La fortaleza de Google se ha ido arruinando poco a poco durante años. Con Windows pasa algo parecido: el marketing y la publicidad están arruinando productos que eran más o menos decentes.
Parece que la razón por la que estos anuncios pasan el filtro es similar. Probablemente dependen en gran medida de reportes colectivos, y el enlace de “reportar un problema” sea uno de los principales mecanismos para filtrar anuncios malos. Si están pasando más, puede ser señal de que hay muy poca gente dedicando tiempo a reportarlos y que el equilibrio del sistema de reportes colectivos se está rompiendo.
Era otra época, de verdad.
Cuando reportas sitios web maliciosos a namecheap, a veces siguen activos durante meses; ellos también son malos, pero hay muchos peores en la gestión de reportes de abuso. Google podría hacerlo mejor, pero en la práctica es bastante decente.
Dicho eso, este caso es otra razón más por la que todos deberían bloquear anuncios. Bloquear anuncios nos hace más seguros a todos.
Hay que hacer que los intermediarios de publicidad asuman parte de la responsabilidad por los anuncios fraudulentos, o imponer una identificación real estricta en los anuncios, o ambas cosas. No me gusta imponer a las publicaciones comunes una obligación tipo impressum alemán, pero los anuncios son distintos.
Porque los anuncios se insertan agresivamente en otros sitios de una forma que el usuario no controla. Salvo bloquear todos los anuncios, no hay opciones.
Al hacer clic en la esquina de un anuncio, deberías poder ver el número de registro de la empresa responsable y su dirección comercial. Los anuncios “extranjeros” que vienen de otros países deberían verificarse con más rigor. Si se trata de una estafa, es mucho más difícil obtener reparación aunque no sea anónima.
Según el artículo, aunque ķeepass[.]info se vea así en la barra de direcciones, en realidad es una notación codificada que representa xn--eepass-vbb[.]info, y estaba distribuyendo el malware FakeBat. La combinación de anuncios de Google con un sitio web cuya URL era casi igual la convirtió en un engaño casi perfecto.
En 2017 se decía que Google Chrome 59 había corregido los ataques de phishing con Punycode. Ej.: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
Tal vez un delincuente persistente analizó el código fuente de Chromium que verifica Punycode y encontró una grieta que permite
ķen lugar dek.https://www.xn--80ak6aa92e.com/ --> el falso “аррӏе.com” muestra una advertencia de phishing
https://xn--eepass-vbb.info/ --> el falso “ķeepass.info” no muestra advertencia
ķ(U+0137) pertenece al alfabeto latino [2], así que supongo que “ķeepass.info” no caería en la verificación de caracteres parecidos de sistemas de escritura mixtos.Tampoco se ve
ķen la lista de glifos de “caracteres parecidos de sistemas de escritura completos” [3]. ¿Habría que incluirlo ahí? En la sección de caracteres griegos de ese archivo hay un comentario en el sentido de que “se ignoran variantes como ά, έ, ή, ί”, así que tal vez exista una regla general de no considerar como caracteres parecidos a las letras con acento.Si es así, hasta cierto punto se entiende. Por ejemplo, si un nombre de dominio con
ése mostrara en formato Punycode, los usuarios franceses quedarían bastante decepcionados.[1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
[2] https://www.compart.com/en/unicode/U+0137
[3] https://source.chromium.org/chromium/chromium/src/+/main:com...
Al final, uno tampoco entraría a “göogle.com”, ¿no?
Al mismo tiempo que Google libra una guerra contra los bloqueadores de anuncios en YouTube, vuelve a demostrar que no se le puede confiar en absoluto la responsabilidad de mostrar anuncios seguros.
Además, también les muestra a niños pequeños videos de guerra como anuncios.
Mis favoritos en particular son los anuncios de cargadores tipo ladrillo estúpidos que “desfragmentan mágicamente el teléfono” y los anuncios de pistolas Micro Ghost.
Me considero alguien que se preocupa por la seguridad, pero no sé si me habría dado cuenta de esto. Otra razón más para usar uBO sin arrepentimientos.
“La compañía afirmó que elimina de inmediato los anuncios fraudulentos denunciados lo antes posible”.
Si quisieran ser parte de la solución, habrían verificado los anuncios antes de publicarlos. Pero eso no escala, así que la gente cae en estafas, la sociedad sufre el daño y Google gana una cantidad de dinero imposible de manejar. ¿Un trato bastante justo...?
Como han dicho varias personas, el bloqueo de anuncios en Internet es parte de un uso saludable y seguro de la red.
La moderación es un problema difícil de resolver. Queremos comodidad para lo correcto y bloqueos fuertes para cualquier cosa apenas sospechosa. Inevitablemente se van a escapar algunas cosas.
La clave aquí es si esto es un caso excepcional o si es un problema prominente con muchos casos de aprobación de este tipo en Google Ads, pero el artículo no da esa respuesta.
Hace un año hubo el mismo problema, y el prefijo del nombre de dominio también parece el mismo.
https://www.bleepingcomputer.com/news/security/google-ad-for...
Si tengo que pasar por todo tipo de trámites por el proceso de conocimiento del cliente, me gustaría que las empresas tuvieran que hacer lo mismo en estos casos que nos complican la vida.
Aplica a la publicidad engañosa, las llamadas de spam, los productos falsificados en lugares como Amazon, e incluso al correo electrónico.
Todo parece estar diseñado para que todos los estafadores del mundo puedan llegar a mí al 100%, pero las empresas que hacen posible todo esto no son alcanzables de ninguna manera.
Es una táctica bastante astuta. Si hubiera visto el enlace en un contexto que no fuera un anuncio, quizá yo también habría caído.
Con las sustituciones Unicode habituales, he aprendido a detectarlas porque las letras se ven aunque sea un poquito raras, pero en este caso fue distinto. Aunque la flecha lo señalaba, no vi el punto debajo de la
k; a mis ojos parecía una pequeña mota de polvo o suciedad en el monitor.En la pantalla hay muchas de esas cosas, y el sistema visual es bueno para ignorar ese ruido.
No es polvo como un píxel negro que bloquea la luz, sino un píxel blanco brillante. Nunca había pensado en el modo oscuro como una forma de reforzar la seguridad :)
Punycode tiene un propósito dudoso desde el principio. Lo digo sobre todo desde la perspectiva de usuarios del alfabeto latino, pero varios sitios de regiones con alfabetos no latinos que he visitado durante los últimos 10 años usaban todos dominios ASCII normales.
Incluso en los nombres de usuario de sitios web que permiten Unicode, se ve que la mayoría de las personas que usan escrituras no latinas eligen nombres de usuario con alfabeto latino.
En la práctica, casi todos los lugares donde se usa Punycode son dominios de spam. La mayoría de los dominios de regiones cirílicas o asiáticas tampoco usan Punycode.
Entiendo el concepto de Punycode y técnicamente es impresionante, pero en los dominios se convirtió en un enorme dolor de cabeza de phishing.
Incluso usando varios idiomas europeos, necesito menos de 10 caracteres Unicode y, de hecho, cada uno sigue siendo un código ISO 8859-15 de 8 bits. Aunque sean necesarios, la mayoría de los sitios ni siquiera registran dominios Punycode y usan una versión ASCII deformada del nombre.
Como medida práctica, los navegadores deberían preguntar si se permite el uso de URLs de un idioma específico la primera vez que el usuario ingrese una URL con caracteres no ASCII. Permitir solo uno o dos idiomas reduciría mucho la superficie de ataque para la mayoría de los usuarios.
Por ejemplo, ahora asahi.com lo tiene 朝日 (el periódico Asahi), así que Asahi town (旭) no puede usarlo. Claro que podría usar algo como asahi-town.co.jp, pero también hay muchos topónimos Asahi con otras grafías (旭日, 朝陽, 浅緋, etc.).
No tiene sentido exigirles a todos una variante ASCII arbitraria. Y esto es solo hablando de topónimos japoneses; además está el problema del solapamiento en todo el ámbito de los caracteres chinos.
Que esos dominios estén realmente registrados o no es más bien un problema del huevo y la gallina, y no parece que el espacio de colisiones anterior pueda resolverse limpiamente dentro del alfabeto ASCII.
Que los dominios ASCII occidentales sean vulnerables al fraude es un problema, pero tampoco conviene quemar la casa para matar una pulga.
Dicho eso, en dominios de nivel superior dedicados como
.рф, no veo que Punycode en sí sea el problema. Por ejemplo, una forma como кремль.рф me parece bien.También se podría decir que todo lo que vaya más allá de ASCII es sospechoso, pero quienes no tienen el inglés como lengua materna siempre se opondrán.
Una forma de reducir los anuncios maliciosos es la transparencia. Cada anuncio debería incluir los datos legales de contacto del anunciante, es decir, el nombre de la empresa y el país.
No resolvería el problema por completo, pero los consumidores podrían evitar anuncios de empresas sospechosas de Europa del Este. También sería más fácil para los investigadores de seguridad rastrear a los actores maliciosos, y Google, como plataforma publicitaria, tendría cierto grado de responsabilidad.
Facebook ya hace esto con los anuncios políticos, así que es posible.
A menos que el gobierno los obligue o el riesgo de responsabilidad legal sea demasiado grande, no lo harán voluntariamente.
¿No es eso un poco xenófobo?
[0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...