Αν είχατε ψάξει στο Google για το ‘GIMP’ την περασμένη εβδομάδα, μία από τις διαφημίσεις που θα βλέπατε θα ήταν για το GIMP.org – τον επίσημο ιστότοπο για το GNU Image Manipulation Program.
Με την πρώτη ματιά, αυτή η διαφήμιση φαίνεται αξιόπιστη επειδή ισχυρίζεται ότι σας οδηγεί στο ‘GIMP.org’ Ωστόσο, αν κάνετε κλικ σε αυτήν, θα ανακατευθυνθείτε σε ένα ψεύτικο phishing website. Αυτός ο ιστότοπος δίνει στους επισκέπτες ένα εκτελέσιμο αρχείο 700 MB που υποτίθεται ότι είναι λογισμικό GIMP, αλλά στην πραγματικότητα περιέχει κακόβουλο λογισμικό.
Κακόβουλες διαφημίσεις “GIMP” διαδίδονται μέσω του δικτύου διαφημίσεων της Google
Μέχρι την περασμένη εβδομάδα, αν ψάχνατε στο Google για το “GIMP”, εμφανιζόταν μια διαφήμιση που φαινομενικά σας οδηγούσε στην επίσημη ιστοσελίδα του προγράμματος επεξεργασίας γραφικών ανοιχτού κώδικα, “GIMP.org”.
Αντιθέτως, αυτή η κακόβουλη διαφημιστική καμπάνια οδηγούσε τους επισκέπτες σε μια σελίδα που έμοιαζε πανομοιότυπη με την πραγματική, αλλά στην πραγματικότητα ήταν μια σελίδα phishing. Αυτή η σελίδα παρέδιδε ένα κακόβουλο αρχείο ‘Setup.exe’ που φαινόταν να είναι το βοηθητικό πρόγραμμα GIMP για Windows.
Ο ZachIngram04, ένας χρήστης του Reddit, δήλωσε ότι μια διαφήμιση στον ιστότοπο οδηγούσε τους χρήστες σε μια διεύθυνση URL του Dropbox, η οποία παρέδιδε malware. Η διαφήμιση έχει έκτοτε αντικατασταθεί με μια ακόμη πιο κακόβουλη, η οποία χρησιμοποιεί έναν ψεύτικο ιστότοπο replica, το “gilimp.org”, για να παραδώσει malware.
Το BleepingComputer βρήκε ένα άλλο domain, το “gimp.monster”, που σχετίζεται με αυτή την εκστρατεία. Προκειμένου το trojanized executable να μοιάζει με το GIMP στο χρήστη, το μέγεθος του κακόβουλου λογισμικού διογκώθηκε τεχνητά από 5 MB σε 700 MB χρησιμοποιώντας μια τεχνική που ονομάζεται binary padding.
Μέρος των συνεχιζόμενων καμπανιών VIDAR infostealer
Το Bleepingcompiuter κατάφερε να αποκτήσει ένα αντίγραφο του κακόβουλου εκτελέσιμου αρχείου και επιβεβαιώσε ότι πρόκειται για ένα trojan που υποκλέπτει πληροφορίες και ονομάζεται VIDAR.
Οι VIDAR infostealers είναι γραμμένοι σε .NET και λαμβάνουν εντολές από έναν command-and-control (C2) server ο οποίος σε αυτή την περίπτωση είναι μια διεύθυνση URL με έδρα τη Ρωσία και αναμένονται περαιτέρω εντολές:
Το παραπάνω αρχείο μπορεί να μοιάζει με εικόνα Bitmap αν το ανοίξετε σε ένα πρόγραμμα περιήγησης ιστού, αλλά στην πραγματικότητα πρόκειται για DLL που περιέχει hex instructions για κακόβουλο λογισμικό.
Επιπλέον, το BleepingComputer ανακάλυψε ότι το κακόβουλο ‘Setup.exe’ επικοινώνησε με έναν άλλο C2 server (95.216.181.10) για να ανακτήσει τις πληροφορίες διαμόρφωσης πριν κατεβάσει το payload του σταδίου 2.
Το δεύτερο στάδιο του VIDAR περιλαμβάνει γενικά τη λήψη ενός αρχείου ZIP με πρόσθετα DLL dependencies και modules που το βοηθούν στην κλοπή credential και πληροφοριών.
Τα δεδομένα που προσπαθούν να κλέψουν οι παραλλαγές του Vidar από τα μηχανήματα που μολύνει περιλαμβάνουν τα εξής:
- Όλες οι δημοφιλείς πληροφορίες του προγράμματος περιήγησης, όπως κωδικοί πρόσβασης, cookies, ιστορικό και στοιχεία πιστωτικών καρτών.
- Cryptocurrency πορτοφόλια
- Credentials για τις εκδόσεις Windows του Telegram.
- Πληροφορίες σχετικά με τις εφαρμογές μεταφοράς αρχείων.(WINSCP, FTP, FileZilla)
Προηγουμένως, οι καμπάνιες domain typosquatting που χρησιμοποιούν το VIDAR είχαν στοχεύσει χρήστες τουλάχιστον 27 προϊόντων λογισμικού, συμπεριλαμβανομένων των Notepad++, Microsoft Visual Studio και προγράμματος περιήγησης Brave.
Πηγή πληροφοριών: bleepingcomputer.com
