Ignoti cybercriminali hanno avviato una campagna di malvertising per convincere gli utenti ad installare Vidar, un noto e pericolo info-stealer. Le ignare vittime sono state ingannate da un annuncio pubblicitario, mostrato su Google Search, che indicava il sito (fasullo) del software GIMP.
Vidar distribuito tramite sito fake di GIMP
Fino alla scorsa settimana, quando l’utente cercava “gimp“, Google visualizzava un’inserzione pubblicitaria con il link al sito del software open source. Cliccando sul banner veniva aperta una pagina identica all’originale, ma osservando meglio la barra degli indirizzi si poteva notare l’URL www.gilimp.org, invece di www.gimp.org.
Google permette di utilizzare due indirizzi diversi per gli annunci pubblicitari. Uno è quello mostrato nei risultati della ricerca, mentre l’altro è quello della pagina di destinazione. Entrambi devono però appartenere allo stesso dominio. I cybercriminali hanno invece usato due domini differenti (gimp.org e gilimp.org). Forse c’è un bug in Google Ad Manager che ha consentito il malvertising.
Vidar ha una dimensione inferiore a 5 MB, ma il file pubblicato sul sito fasullo è circa 700 MB. Per ingannare gli utenti è stata usata la tecnica nota come binary padding. Il malware contatta il server C2 (command and control) per ricevere comandi, scarica i vari moduli ed inizia le sue attività. Può rubare password, cookie e dati delle carte di credito dal browser, accedere ai wallet delle criptovalute e leggere le email. Un soluzione di sicurezza aggiornata protegge gli utenti contro questa pericolosa minaccia.
Ti potrebbe interessare
2 nov 2022