Przejdź na

GIMP ze złośliwym oprogramowaniem. Winowajcą fałszywa reklama

Nieświadomi użytkownicy mogli w ostatnich dniach pobrać zainfekowaną wersję darmowego, bardzo popularnego oprogramowania GIMP, która była pierwszym wynikiem wyszukiwania w Google.

Reklama Google Ads przekierowująca na zainfekowaną stronę.Reklama Google Ads przekierowująca na zainfekowaną stronę.
Źródło zdjęć: © Twitter | 0x0luke
Przemysław Juraszek
Przemysław Juraszek

Do zainfekowanej wersji GIMP-a prowadziła bliźniaczo wyglądająca strona https://www.gilimp[.]org, podczas gdy poprawna to https://www.gimp.org jednakże różnica nie była na pierwszy rzut oka widoczna, ponieważ reklama Google Ads sugerowała poprawną witrynę.

Jak wskazuje portal sekurak.pl, oszustwo zostało wykryte na Reddicie, a dogłębniej sprawę przeanalizował badacz bezpieczeństwa o nicku 0x0luke. Wygląda, że zmodyfikowany plik exe o realnej wielkości 4,92 MB zamaskowany jako 700 MB zawiera trojana Vidar zdolnego do zbierania informacji o komputerze oraz przeglądania plików na pulpicie i wykrada dane z przeglądarek obejmujące hasła oraz dane dotyczące portfeli kryptowalutowych.

Suma kontrolna zainfekowanego GIMP-a to: f077e9f0a25e6c73e7c2c886026af70d74cb2b6ae4ad1461dfae692d94d63ccc, a złośliwe oprogramowanie jest pobierane z hxxp://91[.]213[.]50[.]70/Htcnwiij.bmp i charakteryzuje się sumą kontrolną: CA5837C6B4CDDE0E3EF9942BA308CA19E9B51439048BD0C2FCF5753E1403A517. Warto też zaznaczyć, że trojan łączy się serwerem hxxp://95.216.181(.)10/.

Google Meet pomaga Ukraińcom w wojnie. Istna kpina z Rosjan
Google Meet pomaga Ukraińcom w wojnie. Istna kpina z Rosjan

Sprawcą reklama Google Ads

Hakerzy już nieraz wykorzystywali Google Ads do niecnych celów poprzez wykupienie reklamy ukierunkowanej na wyszukiwanie konkretnego hasła, którym w tym przypadku było GIMP. Po kliknięciu w reklamę ta przekierowywała ofiarę na bliźniaczą stronę zawierającą zainfekowany instalator GIMP-a.

Jest to możliwe dzięki temu, że Google umożliwia stosowanie dwóch różnych adresów URL, z czego pierwszy jest wyświetlany (tutaj wklejony poprawny), a drugi, na który przekierowywany jest użytkownik, może być inny. Stwarza to duże pole do nadużyć.

Aktualnie zagrożenie minęło i reklama została już przez Google'a usunięta, ale zalecamy dokładne sprawdzenie stron, na które wchodzicie przy przekierowywaniu z reklam. Czasem, jak pokazuje praktyka, lepiej wchodzić bezpośrednio na stronę dostawcy oprogramowania lub korzystać ze sprawdzonych katalogów oprogramowania.

Netflix dostał nową funkcję. Niektórzy "muszą" skorzystać
Netflix dostał nową funkcję. Niektórzy "muszą" skorzystać

Przemysław Juraszek, dziennikarz dobreprogramy.pl

Wybrane dla Ciebie
Rejestracja auta w mObywatelu. Wiadomo, od kiedy będzie możliwa
Rejestracja auta w mObywatelu. Wiadomo, od kiedy będzie możliwa
Podejrzewasz wyciek danych? Wykorzystaj mObywatela
Podejrzewasz wyciek danych? Wykorzystaj mObywatela
SMS Blastery w autach. Jak działa atak?
SMS Blastery w autach. Jak działa atak?
Yanosik komentuje raport Policji. Co jest przyczyną wypadków?
Yanosik komentuje raport Policji. Co jest przyczyną wypadków?
CERT Orange: AI napędza fałszywe sklepy w sieci
CERT Orange: AI napędza fałszywe sklepy w sieci
Ta aplikacja zmieniła świat. Obchodzi 20. urodziny
Ta aplikacja zmieniła świat. Obchodzi 20. urodziny
ZUS ostrzega przed fałszywymi telefonami. Oszuści żądają 800 zł
ZUS ostrzega przed fałszywymi telefonami. Oszuści żądają 800 zł
Microsoft Teams wprowadzi zmiany. Start w czerwcu 2026 r.
Microsoft Teams wprowadzi zmiany. Start w czerwcu 2026 r.
NWHStealer kradnie hasła. Ukrywa się w fałszywych aplikacjach
NWHStealer kradnie hasła. Ukrywa się w fałszywych aplikacjach
TikTok Shop w Polsce. Sprzedawcy otrzymali powiadomienie
TikTok Shop w Polsce. Sprzedawcy otrzymali powiadomienie
Komunikat KAS. Termin mija 30 kwietnia
Komunikat KAS. Termin mija 30 kwietnia
Serwis telewizji DVB-T2. Wyłączenia nadajników
Serwis telewizji DVB-T2. Wyłączenia nadajników
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇