冒充brave.com 网站来传播恶意软件

诈骗者已被发现使用巧妙的手段冒充 Brave 浏览器的网站，并在 Google 广告中使用它来推送控制浏览器并窃取敏感数据的恶意软件。该攻击通过注册域 xn--brav-yva[.]com 起作用，这是一个编码字符串，使用所谓的 punycode 来表示 bravė[.]com，这个名称在浏览器地址栏中显示时与勇敢的相似，令人困惑。 com，人们在此下载 Brave 浏览器。 Bravė[.]com（注意字母 E 上的重音）几乎是 brave.com 的完美复制品，但有一个关键的例外：“下载 Brave”按钮抓取了一个文件，该文件安装了名为 ArechClient 和 SectopRat 的恶意软件。为了增加虚假网站的流量，诈骗者在 Google 上购买了广告，当人们搜索涉及浏览器的内容时​​就会显示这些广告。广告看起来足够温和。如下图所示，一个广告显示的域是 mckelveytees.com，这是一个为专业人士销售服装的网站。但是当人们点击其中一个广告时，它会引导他们通过几个中间域，直到他们最终登陆 bravė[.]com。为 Brave 工作的 Web 开发人员乔纳森·桑普森 (Jonathan Sampson) 表示，可供下载的文件有一个大小为 303MB 的 ISO 映像。里面是一个单一的可执行文件。 VirusTotal 立即展示了一些检测 ISO 和 EXE 的反恶意软件引擎。在这篇文章发布时，ISO 映像有 8 次检测，EXE 有 16 次。检测到的恶意软件有多个名称，包括 ArechClient 和 SectopRat。安全公司 G Data 2019 年的一项分析发现，它是一种远程访问木马，能够流式传输用户当前的桌面或创建攻击者可用来浏览互联网的第二个隐形桌面。在 2 月份发布的后续分析中，G Data 表示，该恶意软件已进行更新，以添加新的特性和功能，包括与攻击者控制的命令和控制服务器的加密通信。一项单独的分析发现，它具有“连接到 C2 服务器、分析系统、从 Chrome 和 Firefox 等浏览器窃取浏览器历史记录等功能”。

如 DNSDB Scout 的被动 DNS 搜索所示，托管虚假 Brave 站点的 IP 地址一直托管其他可疑的 punycode 域，包括 xn--ldgr-xvaj.com、xn--sgnal-m3a.com、xn-- Teleram-ncb.com 和 xn--brav-8va.com。这些分别转换为 lędgėr.com、sīgnal.com teleģram.com 和 bravę.com。所有域名都是通过 NameCheap 注册的。安全公司 Silent Push 的威胁情报研究主管 Martijn Grooten 开始怀疑这个骗局背后的攻击者是否在其他 IP 上托管了其他类似的网站。他使用 Silent Push 产品搜索通过 NameCheap 注册并使用相同网络主机的其他 punycode 域。他还访问了另外七个同样可疑的网站。一旦 Brave 引起公司的注意，谷歌就删除了这些恶意广告。 NameCheap 在收到通知后删除了恶意域。这些攻击的可怕之处之一就是它们很难被检测到。由于攻击者可以完全控制 punycode 域，因此冒名顶替者站点将拥有有效的 TLS 证书。当该域托管欺骗网站的精确副本时，即使是具有安全意识的人也可能被愚弄。遗憾的是，除了多花几秒钟检查地址栏中显示的 URL 之外，没有明确的方法可以避免这些威胁。使用基于 punycode 的域的攻击并不是什么新鲜事。本周对 Brave.com 的模仿表明它们不会很快过时。它纯粹的 e̶v̶i̶l̶ 贪婪存在这些领域。为什么 ascii 不够用？没有理由为什么 bravè.com bravê.com 或 bravė.com 应该指向 bravè.com 以外的其他东西 嗯，主要是因为世界有点国际化，ASCII 无法处理。 diezaños.com (tenyears.com) 和 diezanos.com (tenbuttholes.com) 之间的西班牙语使用者存在巨大差异。我相信其他语言可能会有更极端的例子。那是在我们考虑世界上的非拉丁文字用户之前。有效地容纳它们需要一个 Unicode 派生系统，该系统又将包括拉丁变音符号。有一些工具可以通过使用各种启发式方法（例如，除一个西里尔文/希腊字母之外的所有拉丁字母，并且已知该字母可能与拉丁字母混淆）来嗅出潜在的误导性 URL。如果浏览器使用混合脚本或变音符号获取这些 URL 之一，检查它是否与前 1000（或 10k、或 100k 等）域相当相似，并提醒用户潜在的网络钓鱼尝试可能是个好主意在这种情况下。