Прямо в поисковике
Неизвестные злоумышленники заманивали пользователей популярного бесплатного графического редактора GIMP на поддельный сайт с помощью рекламы, размещенной в результатах поиска Google.
Реклама выглядела абсолютно легитимной и каким-то образом оказалась в приоритете. При этом переход по ссылке приводил жертву на сайт с адресом gilimp.org, который внешне точно копировал оригинальный ресурс (gimp.org). Вместо дистрибутива графического редактора жертвам загружался 700-мегабайтный файл, оказывавшийся на поверку троянцем, крадущим личные данные пользователей.
Вредонос специально был раздут до таких размеров, чтобы выглядеть как легитимный дистрибутив. Кстати, на деле дистрибутив редактора последней версии 2.10.32 выгружается в виде 253-мегабайтного файла .exe. В кампании также использовался адрес gimp.monster.
«В сущности атака рассчитана именно на невнимательность пользователя: разница между адресом Gimp.org и Gilimp.org заметна невооруженным глазом, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Важнее в данном случае, то, что злоумышленники смогли найти способ либо подменить адресацию в рекламе Google, либо запустить мошенническую кампанию у него под носом и довольно продолжительное время сохранять ее функционирование.
Уязвимость в менеджере рекламы?
Каким образом Google допустил такую рекламу, действительно загадка. Компания позволяет рекламодателям создавать рекламные объявления сразу с двумя URL - один будет показан в объявлении, второй - это адрес лендинга, на который будет направлен пользователь на самом деле. Совпадать им не обязательно, однако есть ряд условий, из них ключевое - это чтобы пользователи видели, куда именно их в итоге направят.
«Политика Google предполагает, что и отображаемый в рекламном объявлении URL и адрес лендинговой страницы относились к одному и тому же сайту. Следовательно, URL, отображаемый в объявлении, должен соответствовать домену, на который перейдут пользователи после нажатия на ссылку», - говорится в пояснениях Google.
Существует предположение, что злоумышленники могли воспользоваться неким багом в GoogleAdManager, но точной информации об этом пока нет.
И снова VIDAR
Эксперты Bleeping Computer получили копию вредоноса и установили, что речь идет о троянце VIDAR, специализирующемся на краже личных данных.
VIDAR написан на .NET. Его управляющий сервер либо физически располагается в России, либо использует российские сетевые адреса. На сервере находится файл с расширением .BMP, но на самом деле это замаскированный DLL с инструкциями, которые должен в итоге выполнить вредонос.
Экспертам удалось выявить еще один управляющий сервер, расположенный по другому адресу; с него вредонос скачивает настройки и вредоносные компоненты для второй стадии заражения. Как правило, это архив ZIP с дополнительными зависимостями DLL и модулями.
Актуальный вариант VIDAR пытается красть личные данные из браузеров (в том числе, пароли, файлы cookies, историю и данные кредитных карт), кошельки криптовалют, реквизиты доступа к Telegram (под Windows), информацию о средствах скачивания и выгрузки файлов, таких как WINSCP, FTP, FileZilla, информацию о почтовых адресах и некоторые другие данные.
Ранее операторы этого же троянца пытались использовать поддельные домены, связанные с другими популярными программными разработками, в том числе редактором Notepad++, MicrosoftVisualStudio, браузером Brave и ещё двумя десятками других. Также известны случаи, когда злоумышленники пытались использовать ресурсы соцсети Mastodon для размещения информации об управляющих серверах вредоноса.