GIMP ze złośliwym oprogramowaniem. Winowajcą fałszywa reklama

Do zainfekowanej wersji GIMP-a prowadziła bliźniaczo wyglądająca strona https://www.gilimp[.]org, podczas gdy poprawna to https://www.gimp.org jednakże różnica nie była na pierwszy rzut oka widoczna, ponieważ reklama Google Ads sugerowała poprawną witrynę.

Jak wskazuje portal sekurak.pl, oszustwo zostało wykryte na Reddicie, a dogłębniej sprawę przeanalizował badacz bezpieczeństwa o nicku 0x0luke. Wygląda, że zmodyfikowany plik exe o realnej wielkości 4,92 MB zamaskowany jako 700 MB zawiera trojana Vidar zdolnego do zbierania informacji o komputerze oraz przeglądania plików na pulpicie i wykrada dane z przeglądarek obejmujące hasła oraz dane dotyczące portfeli kryptowalutowych.

Suma kontrolna zainfekowanego GIMP-a to: f077e9f0a25e6c73e7c2c886026af70d74cb2b6ae4ad1461dfae692d94d63ccc, a złośliwe oprogramowanie jest pobierane z hxxp://91[.]213[.]50[.]70/Htcnwiij.bmp i charakteryzuje się sumą kontrolną: CA5837C6B4CDDE0E3EF9942BA308CA19E9B51439048BD0C2FCF5753E1403A517. Warto też zaznaczyć, że trojan łączy się serwerem hxxp://95.216.181(.)10/.

Hakerzy już nieraz wykorzystywali Google Ads do niecnych celów poprzez wykupienie reklamy ukierunkowanej na wyszukiwanie konkretnego hasła, którym w tym przypadku było GIMP. Po kliknięciu w reklamę ta przekierowywała ofiarę na bliźniaczą stronę zawierającą zainfekowany instalator GIMP-a.

Jest to możliwe dzięki temu, że Google umożliwia stosowanie dwóch różnych adresów URL, z czego pierwszy jest wyświetlany (tutaj wklejony poprawny), a drugi, na który przekierowywany jest użytkownik, może być inny. Stwarza to duże pole do nadużyć.

Aktualnie zagrożenie minęło i reklama została już przez Google'a usunięta, ale zalecamy dokładne sprawdzenie stron, na które wchodzicie przy przekierowywaniu z reklam. Czasem, jak pokazuje praktyka, lepiej wchodzić bezpośrednio na stronę dostawcy oprogramowania lub korzystać ze sprawdzonych katalogów oprogramowania.