Ένας Γάλος ερευνητής ασφαλείας ανακάλυψε τυχαία μια ομάδα από sites που με την γνωστή τακτική typosquatting μοίραζε λογισμικό που περιείχαν adware. Τα προγράμματα ήταν αυθεντικά και λειτουργούσαν κανονικά, αλλά περιείχαν κακόβουλα πρόσθετα.
Το πρώτο από αυτά τα site ανακαλύφθηκε από τον Ivan Kwiatkowski. Το κακόβουλο domain ήταν το keepass.fr, που φαίνεται να είναι αντίγραφο του keepass.info.
Κατεβάζοντας το εκτελέσιμο αρχείο του Keepass από το keepass.fr, ο χρήστης έπαιρνε μια πλήρως λειτουργική έκδοση του Keepass, αλλά γινόταν εγκατάσταση και του InstallCore adware.
Αυτός ο τύπος adware, δουλεύει ως πρόσθετο πάνω από ένα ήδη υπάρχων αρχείο εγκατάστασης, και εμφανίζει τις επιλογές του όταν εκτελείτε το setup. Έτσι, το πρόγραμμα ρωτάει τον χρήστη αν ενδιαφέρεται να εγκαταστήσει τρίτα προγράμματα όπως για παράδειγμα το AVG Antivirus που φαίνεται στην παρακάτω εικόνα. Για κάθε εγκατάσταση τρίτου προγράμματος που πραγματοποιείται, ο δημιουργός του προγράμματος (σε αυτή την περίπτωση το keepass.fr) κερδίζει κάποιο χρηματικό ποσό.
Μερικά από αυτά τα τρίτα προγράμματα που προτείνονται για εγκατάσταση είναι αυθεντικά και ασφαλή, όπως το AVG Antivirus. Σε άλλες περιπτώσεις όμως έχουν προωθηθεί adware, crypto miners, browser hijackers και άλλα.
Το ψεύτικο keepass.fr site όμως δεν είναι το μοναδικό του είδους του. Είναι μέρος μιας μεγάλης λίστας από παραπλανητικά domains, όλα καταχωρημένα με το ίδιο email. Τα υπόλοιπα domains περιείχαν αντίγραφα από προγράμματα όπως το 7zip, paint.net, inkscape, scribus, GParted, Audacity, Filezilla, Truecrypt, Blender, AdBlock.
Τα περισσότερα domains ήταν καταχωρημένα χρησιμοποιώντας .fr ή .es TLD’s, και το περιεχόμενο τους ήταν διαθέσιμο κυρίως σε γαλλικά και ισπανικά.
Σύμφωνα με τον Ivan, όλα αυτά τα sites φαίνεται να φιλοξενούνται στον ίδιο server, πράγμα που σημαίνει ότι θα είναι εύκολο να αφαιρεθούν.
Η λίστα με τα κακόβουλα sites είναι η εξής:
keepass.fr
7zip.fr
inkscape.fr
gparted.fr
clonezilla.fr
paintnet.fr
greenshot.fr
scribus.fr
audacity.es
stellarium.fr
celestia.fr
celestia.es
azureus.es
clonezilla.es
inkscape.es
paintnet.es
handbrake.es
gimp.es
thunderbird.es
unetbootin.org
unetbootin.net
notepad2.com
keepass.com