IT之家 10 月 20 日消息，安全人員 Malwarebytes 日前發現，一款知名開源密碼管理器 KeePass 在谷歌搜索中驚現“網址相同”的“山寨官網”，用戶進入這一“山寨官網”后，下載到的是惡意木馬。

▲ 圖源 Malwarebytes

據悉，谷歌目前已經移除了相關山寨 KeePass 官網，而根據 Malwarebytes 此前截取的畫面顯示，當用戶在谷歌搜索 KeePass 時，首先跳出來的反而是山寨官網，接著才是 KeePass 的官方網站，兩個網站界面完全相同，甚至網址也“相同”。

▲ 圖源 Malwarebytes

IT之家注：DNS 一般是使用 ASCII 字符來顯示域名名稱，但識別包含非 ASCII 字符的域名時存在問題，而 Punycode 編碼系統便應運而生，可將非 ASCII 字符轉換成 ASCII 格式，從而解決域名名稱與 DNS 之間的互通問題。

而駭客即是利用了 Punycode 編碼系統，把一個域名名稱轉成了 ASCII 格式，呈現了幾乎與 KeePass 官網 keepass.info 一致的網址，實際上該惡意網站的網址名稱為?eepass [.] info ，要非常仔細才看得出 k 底下多了一點，可謂“李逵”與“李鬼”的區別。

▲ 圖源 Malwarebytes

用戶若判定錯誤，進入山寨版 KeePass 網站后，下載的“密碼管理器”實際上是惡意軟件，其中包含了 FakeBat 木馬，該木馬可與黑客設置的服務器進行鏈接，進而令黑客獲取密碼信息。