Un gruppo di cybercrminali la cui identità è al momento ancora ignota ha dato il via, nei giorni scorsi, a una campagna di malvertising con l'intento di convincere gli utenti a installare Vidar, mostrando un annuncio pubblicitario su Google che indicava il sito farlocco di GIMP, il celeberrimo software di image editing da molti considerato come la migliore alternativa gratuita a Photoshop.

GIMP: sito fake sfruttato per il malvertising

Vidar è un noto e pericoloso info-stealer, con una dimensione inferiore a 5 MB, ma il file pubblicato sul sito fasullo presenta un peso di circa 700 MB, al fine trarre in inganno gli utenti, sfruttando la tecnica nota come binary padding.

Andando più in dettaglio, cercando GIMP su Google veniva mostrata un’inserzione pubblicitaria con il link al sito di GIMP e facendo clic sul banner si apriva una pagina identica a quella originale, contrassegnata però da un URL diverso, ovvero www.gilimp.org invece di www.gimp.org.

Da tenere presente che Google consente di usare due indirizzi diversi per gli annunci pubblicitari: uno viene mostrato nei risultati della ricerca, mentre l’altro è per la pagina di destinazione. Tuttavia devono fare entrambi capo al medesimo dominio, cosa che in questo caso specifico non era.

Una volta visitata la pagina fasulla del sito di GIMP e scaricato Vidar, il malware andava a contattare il server C2 (command and control) per ricevere comandi, scarica i vari moduli e dare il via alle sue attività, quali rubare password, cookie e dati delle carte di credito dal browser, accedere ai wallet delle criptovalute e leggere email.

