Хакеры заражали компьютеры с помощью клона графического редактора GIMP

Они создали поддельный сайт, откуда пользователи скачивали заражённый дистрибутив.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Что случилось

Хакерская группа VIDAR создала клон сайта gimp.org и загружала под видом дистрибутива 700-мегабайтный файл с вредоносным содержимым. Хакеры рекламировали сайт с помощью Google-рекламы, которая выглядела легитимной и даже оказалась в приоритете выдачи поисковика.

Что за вирус

Переход по ссылке приводил жертву на сайт с адресом gilimp.org, который внешне точно копировал оригинальный ресурс (gimp.org). Вместо дистрибутива графического редактора жертвами загружался 700-мегабайтный файл-троян, крадущий личные данные пользователей.

Вредоносную программу хакеры специально утяжелили до размеров настоящего сервиса. В то же время оригинальный дистрибутив редактора последней версии 2.10.32 весит 253 Мб.

«В сущности атака рассчитана именно на невнимательность пользователя: разница между адресом gimp.org и gilimp.org заметна невооружённым глазом. Важнее в данном случае то, что злоумышленники смогли найти способ либо подменить адресацию в рекламе Google, либо запустить мошенническую кампанию у него под носом и довольно продолжительное время сохранять её функционирование», — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ.

Как Google допустил рекламу вирусов

Компания позволяет рекламодателям создавать рекламные объявления сразу с двумя URL: один показывают в объявлении, второй — это адрес лендинга, на который будет направлен пользователь на самом деле. Совпадать им необязательно, однако есть ряд условий: ключевое из них — чтобы пользователи видели, куда именно их в итоге направят.

«Политика Google предполагает, что и отображаемый в рекламном объявлении URL, и адрес лендинговой страницы должны относиться к одному и тому же сайту. Следовательно, URL, отображаемый в объявлении, должен соответствовать домену, на который перейдут пользователи после нажатия на ссылку», — говорится в пояснениях от представителей Google.

Эксперты предполагают, что злоумышленники могли воспользоваться неизвестным багом в GoogleAdManager, чтобы запустить рекламную кампанию. Google пока не дал никаких комментариев.

Читайте также: