Все
Истории
Дизайн
Код
Геймдев
Бизнес
Маркетинг
Управление
Кино
Музыка
Проектная фотография
Развитие
Здоровье
Деньги
Образование
EdTech
Корп. обучение
Блог Skillbox
Глоссарий
Спецпроекты
Профориентация
Хакеры заражали компьютеры с помощью клона графического редактора GIMP
Они создали поддельный сайт, откуда пользователи скачивали заражённый дистрибутив.
Что случилось
Хакерская группа VIDAR создала клон сайта gimp.org и загружала под видом дистрибутива 700-мегабайтный файл с вредоносным содержимым. Хакеры рекламировали сайт с помощью Google-рекламы, которая выглядела легитимной и даже оказалась в приоритете выдачи поисковика.
Что за вирус
Переход по ссылке приводил жертву на сайт с адресом gilimp.org, который внешне точно копировал оригинальный ресурс (gimp.org). Вместо дистрибутива графического редактора жертвами загружался 700-мегабайтный файл-троян, крадущий личные данные пользователей.
Вредоносную программу хакеры специально утяжелили до размеров настоящего сервиса. В то же время оригинальный дистрибутив редактора последней версии 2.10.32 весит 253 Мб.
«В сущности атака рассчитана именно на невнимательность пользователя: разница между адресом gimp.org и gilimp.org заметна невооружённым глазом. Важнее в данном случае то, что злоумышленники смогли найти способ либо подменить адресацию в рекламе Google, либо запустить мошенническую кампанию у него под носом и довольно продолжительное время сохранять её функционирование», — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ.
Как Google допустил рекламу вирусов
Компания позволяет рекламодателям создавать рекламные объявления сразу с двумя URL: один показывают в объявлении, второй — это адрес лендинга, на который будет направлен пользователь на самом деле. Совпадать им необязательно, однако есть ряд условий: ключевое из них — чтобы пользователи видели, куда именно их в итоге направят.
«Политика Google предполагает, что и отображаемый в рекламном объявлении URL, и адрес лендинговой страницы должны относиться к одному и тому же сайту. Следовательно, URL, отображаемый в объявлении, должен соответствовать домену, на который перейдут пользователи после нажатия на ссылку», — говорится в пояснениях от представителей Google.
Эксперты предполагают, что злоумышленники могли воспользоваться неизвестным багом в GoogleAdManager, чтобы запустить рекламную кампанию. Google пока не дал никаких комментариев.
