Malvertising e sito fake di GIMP per distribuire Vidar

Malvertising e sito fake di GIMP per distribuire Vidar

Sfruttando un sito simile a quello di GIMP, ignoti cybercriminali hanno distribuito l'info-stealer Vidar che può rubare numerosi dati dal computer.
Sfruttando un sito simile a quello di GIMP, ignoti cybercriminali hanno distribuito l'info-stealer Vidar che può rubare numerosi dati dal computer.

Ignoti cybercriminali hanno avviato una campagna di malvertising per convincere gli utenti ad installare Vidar, un noto e pericolo info-stealer. Le ignare vittime sono state ingannate da un annuncio pubblicitario, mostrato su Google Search, che indicava il sito (fasullo) del software GIMP.

Vidar distribuito tramite sito fake di GIMP

Fino alla scorsa settimana, quando l’utente cercava “gimp“, Google visualizzava un’inserzione pubblicitaria con il link al sito del software open source. Cliccando sul banner veniva aperta una pagina identica all’originale, ma osservando meglio la barra degli indirizzi si poteva notare l’URL www.gilimp.org, invece di www.gimp.org.

Google permette di utilizzare due indirizzi diversi per gli annunci pubblicitari. Uno è quello mostrato nei risultati della ricerca, mentre l’altro è quello della pagina di destinazione. Entrambi devono però appartenere allo stesso dominio. I cybercriminali hanno invece usato due domini differenti (gimp.org e gilimp.org). Forse c’è un bug in Google Ad Manager che ha consentito il malvertising.

Vidar ha una dimensione inferiore a 5 MB, ma il file pubblicato sul sito fasullo è circa 700 MB. Per ingannare gli utenti è stata usata la tecnica nota come binary padding. Il malware contatta il server C2 (command and control) per ricevere comandi, scarica i vari moduli ed inizia le sue attività. Può rubare password, cookie e dati delle carte di credito dal browser, accedere ai wallet delle criptovalute e leggere le email. Un soluzione di sicurezza aggiornata protegge gli utenti contro questa pericolosa minaccia.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 2 nov 2022
Link copiato negli appunti