IT之家 10 月 20 日消息，安全人員 Malwarebytes 日前發(fā)現(xiàn)，一款知名開源密碼管理器 KeePass 在谷歌搜索中驚現(xiàn)“網(wǎng)址相同”的“山寨官網(wǎng)”，用戶進入這一“山寨官網(wǎng)”后，下載到的是惡意木馬。

▲ 圖源 Malwarebytes

據(jù)悉，谷歌目前已經(jīng)移除了相關山寨 KeePass 官網(wǎng)，而根據(jù) Malwarebytes 此前截取的畫面顯示，當用戶在谷歌搜索 KeePass 時，首先跳出來的反而是山寨官網(wǎng)，接著才是 KeePass 的官方網(wǎng)站，兩個網(wǎng)站界面完全相同，甚至網(wǎng)址也“相同”。

▲ 圖源 Malwarebytes

IT之家注：DNS 一般是使用 ASCII 字符來顯示域名名稱，但識別包含非 ASCII 字符的域名時存在問題，而 Punycode 編碼系統(tǒng)便應運而生，可將非 ASCII 字符轉換成 ASCII 格式，從而解決域名名稱與 DNS 之間的互通問題。

而駭客即是利用了 Punycode 編碼系統(tǒng)，把一個域名名稱轉成了 ASCII 格式，呈現(xiàn)了幾乎與 KeePass 官網(wǎng) keepass.info 一致的網(wǎng)址，實際上該惡意網(wǎng)站的網(wǎng)址名稱為?eepass [.] info ，要非常仔細才看得出 k 底下多了一點，可謂“李逵”與“李鬼”的區(qū)別。

▲ 圖源 Malwarebytes

用戶若判定錯誤，進入山寨版 KeePass 網(wǎng)站后，下載的“密碼管理器”實際上是惡意軟件，其中包含了 FakeBat 木馬，該木馬可與黑客設置的服務器進行鏈接，進而令黑客獲取密碼信息。