GIMP ze złośliwym oprogramowaniem. Winowajcą fałszywa reklama

GIMP ze złośliwym oprogramowaniem. Winowajcą fałszywa reklama

Reklama Google Ads przekierowująca na zainfekowaną stronę.
Reklama Google Ads przekierowująca na zainfekowaną stronę.
Źródło zdjęć: © Twitter | 0x0luke
Przemysław Juraszek
02.11.2022 15:37, aktualizacja: 02.11.2022 19:52

Nieświadomi użytkownicy mogli w ostatnich dniach pobrać zainfekowaną wersję darmowego, bardzo popularnego oprogramowania GIMP, która była pierwszym wynikiem wyszukiwania w Google.

Do zainfekowanej wersji GIMP-a prowadziła bliźniaczo wyglądająca strona https://www.gilimp[.]org, podczas gdy poprawna to https://www.gimp.org jednakże różnica nie była na pierwszy rzut oka widoczna, ponieważ reklama Google Ads sugerowała poprawną witrynę.

Jak wskazuje portal sekurak.pl, oszustwo zostało wykryte na Reddicie, a dogłębniej sprawę przeanalizował badacz bezpieczeństwa o nicku 0x0luke. Wygląda, że zmodyfikowany plik exe o realnej wielkości 4,92 MB zamaskowany jako 700 MB zawiera trojana Vidar zdolnego do zbierania informacji o komputerze oraz przeglądania plików na pulpicie i wykrada dane z przeglądarek obejmujące hasła oraz dane dotyczące portfeli kryptowalutowych.

Suma kontrolna zainfekowanego GIMP-a to: f077e9f0a25e6c73e7c2c886026af70d74cb2b6ae4ad1461dfae692d94d63ccc, a złośliwe oprogramowanie jest pobierane z hxxp://91[.]213[.]50[.]70/Htcnwiij.bmp i charakteryzuje się sumą kontrolną: CA5837C6B4CDDE0E3EF9942BA308CA19E9B51439048BD0C2FCF5753E1403A517. Warto też zaznaczyć, że trojan łączy się serwerem hxxp://95.216.181(.)10/.

Sprawcą reklama Google Ads

Hakerzy już nieraz wykorzystywali Google Ads do niecnych celów poprzez wykupienie reklamy ukierunkowanej na wyszukiwanie konkretnego hasła, którym w tym przypadku było GIMP. Po kliknięciu w reklamę ta przekierowywała ofiarę na bliźniaczą stronę zawierającą zainfekowany instalator GIMP-a.

Jest to możliwe dzięki temu, że Google umożliwia stosowanie dwóch różnych adresów URL, z czego pierwszy jest wyświetlany (tutaj wklejony poprawny), a drugi, na który przekierowywany jest użytkownik, może być inny. Stwarza to duże pole do nadużyć.

Aktualnie zagrożenie minęło i reklama została już przez Google'a usunięta, ale zalecamy dokładne sprawdzenie stron, na które wchodzicie przy przekierowywaniu z reklam. Czasem, jak pokazuje praktyka, lepiej wchodzić bezpośrednio na stronę dostawcy oprogramowania lub korzystać ze sprawdzonych katalogów oprogramowania.

Przemysław Juraszek, dziennikarz dobreprogramy.pl

Programy

Zobacz więcej
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (40)