Скидки до 60% и 3 курса в подарок 0 дней 00 :00 :00 Выбрать курс
Код
#новости

Хакеры заражали компьютеры с помощью клона графического редактора GIMP

Они создали поддельный сайт, откуда пользователи скачивали заражённый дистрибутив.

Что случилось

Хакерская группа VIDAR создала клон сайта gimp.org и загружала под видом дистрибутива 700-мегабайтный файл с вредоносным содержимым. Хакеры рекламировали сайт с помощью Google-рекламы, которая выглядела легитимной и даже оказалась в приоритете выдачи поисковика.

Что за вирус

Переход по ссылке приводил жертву на сайт с адресом gilimp.org, который внешне точно копировал оригинальный ресурс (gimp.org). Вместо дистрибутива графического редактора жертвами загружался 700-мегабайтный файл-троян, крадущий личные данные пользователей.

Вредоносную программу хакеры специально утяжелили до размеров настоящего сервиса. В то же время оригинальный дистрибутив редактора последней версии 2.10.32 весит 253 Мб.

«В сущности атака рассчитана именно на невнимательность пользователя: разница между адресом gimp.org и gilimp.org заметна невооружённым глазом. Важнее в данном случае то, что злоумышленники смогли найти способ либо подменить адресацию в рекламе Google, либо запустить мошенническую кампанию у него под носом и довольно продолжительное время сохранять её функционирование», — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ.

Как Google допустил рекламу вирусов

Компания позволяет рекламодателям создавать рекламные объявления сразу с двумя URL: один показывают в объявлении, второй — это адрес лендинга, на который будет направлен пользователь на самом деле. Совпадать им необязательно, однако есть ряд условий: ключевое из них — чтобы пользователи видели, куда именно их в итоге направят.

«Политика Google предполагает, что и отображаемый в рекламном объявлении URL, и адрес лендинговой страницы должны относиться к одному и тому же сайту. Следовательно, URL, отображаемый в объявлении, должен соответствовать домену, на который перейдут пользователи после нажатия на ссылку», — говорится в пояснениях от представителей Google.

Эксперты предполагают, что злоумышленники могли воспользоваться неизвестным багом в GoogleAdManager, чтобы запустить рекламную кампанию. Google пока не дал никаких комментариев.


Попробуйте бесплатно 4 топовых направления в IT

Переходите в Telegram и откройте доступ к бесплатным IT-курсам. Попробуйте себя в Python, Java, тестировании ПО, SQL и Excel. Определите, какое направление вам подходит, и получите подарки.

Пройти курс
4 бесплатных курса для старта в IT ➞
Переходите в Telegram и пройдите 4 курса по топовым направлениям IT. Определите, какая сфера вам ближе, и сделайте первый шаг к новой профессии.
Пройти курс→
Понравилась статья?
Да

Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪

Ссылка скопирована