Google の広告を通じて Brave ブラウザー公式サイト (brave.com) の偽物「bravė.com」への誘導が行われていたそうだ(Ars Technica の記事、 Silent Push のブログ記事、 Braveのセキュリティエンジニア Yan Zhu 氏のツイート)。

偽サイトは Punycode で「xn--brav-yva.com」と表記される国際化ドメイン名 (IDN) だが、ブラウザーのアドレスバーでは「bravė.com」と表示される。このように字形の似た文字を使用したドメインによる攻撃はホモグラフ攻撃などと呼ばれ、以前から行われている。

しかし、今回確認された攻撃では「brave」の Google 検索結果に表示される Braveブラウザー の偽広告を通じて誘導が行われていたという。広告をクリックすると数回のリダイレクトの末に「bravė.com」へ移動する。bravė.com は brave.com に似せて作られており、ダウンロードボタンをクリックするとマルウェアがダウンロードされる仕組みだ。

「bravė.com」のほか、「bravē.com」「ēxodus.com」「torbrōwser.com」「tēlegram.com」などのドメインが同じレジストラ Namecheap で登録されていたが、指摘を受けて登録は解除されており、Google の広告も既にブロックされているとのこと。なお、現在 Brave ブラウザーで「bravė.com」にアクセスしようとすると、「偽のサイトにアクセスしようとしています」と警告画面が表示される。