上周在 Google 上搜索“GIMP”会向访问者显示“GIMP.org”的广告,这是著名的图形编辑器 GNU Image Manipulation Program 的官方网站。
该广告似乎是合法的,因为它将“GIMP.org”声明为目标域。但是点击它会将访问者带到一个相似的网络钓鱼网站,该网站为他们提供了一个伪装成 GIMP 的 700 MB 可执行文件,实际上是恶意软件。
“GIMP”恶意广告滥用谷歌广告
直到上周,在谷歌上搜索“GIMP”会弹出一个谷歌广告,似乎会将你带到开源图形编辑器的官方网站“GIMP.org”。
但相反,这种恶意广告活动将访问者带到了一个相似的网络钓鱼页面,该页面提供了一个恶意的“Setup.exe”,它似乎是 Windows 的 GIMP 实用程序。
Reddit 用户 ZachIngram04早些时候分享了这一发展,称该广告之前将用户带到 Dropbox URL 以提供恶意软件,但很快“被一个更加恶意的网站取代”,该网站使用假冒的复制网站“gilimp.org”来提供恶意软件。
BleepingCompuer 观察到与此活动相关的另一个域“gimp.monster”。
为了以可信的方式将木马化的可执行文件作为 GIMP 传递给用户,攻击者通过一种称为二进制填充的简单技术,人为地将大小低于 5 MB 的恶意软件膨胀到 700 MB 。
Google 广告“显示网址”与“目标网址”
所有这一切仍然让用户感到困惑,为什么谷歌广告首先将“GIMP.org”显示为目标域,而该广告实际上将用户带到了虚假的“gilimp.org”网站。
Redditor RawPacket 推测这是否是威胁行为者使用IDN 同形异义词技术创建 Google 广告的结果,该技术会使西里尔字母“gіmp.org”(实际上是 http://xn--gmp-jhd.org/)看起来相似到拉丁语“gimp.org”。
但是,鉴于此活动中使用了网络钓鱼域“gilimp.org”和“gimp.monster”,这种情况似乎不太可能发生。
Google 允许发布商使用两个不同的 URL 创建广告:一个显示在广告中的 URL,另一个是用户实际被带到的目标 URL。
两者不必相同,但对于显示 URL 的允许内容有严格的政策,并且这些政策需要使用与着陆 URL 相同的域。
“广告商使用着陆页 URL 将人们引导到其网站的特定区域,”谷歌解释说。
“您的广告 URL 应该让客户清楚地了解他们在点击广告时会到达哪个页面。因此,Google 的政策是显示和着陆页 URL 应该在同一个网站内。这意味着您广告中的显示网址需要与访问者点击您的广告时所登陆的域相匹配。”
目前尚不清楚此实例是否是由 Google Ad Manager 中允许恶意广告的潜在错误引起的。news.zzqidc.com已联系谷歌征求意见。
正在进行的 VIDAR 信息窃取活动的一部分
BleepingComputer 能够获得恶意可执行文件的副本,我们可以确认它是一个名为 VIDAR 的信息窃取木马。
VIDAR 信息窃取者使用 .NET 编写,通过连接到他们的命令和控制 (C2) 服务器来工作,在这种情况下,该服务器是基于俄罗斯的 URL 并等待进一步的命令:
上面的文件 似乎是 Web 浏览器中的位图图像,但实际上是一个打包为十六进制指令的 DLL ,供恶意软件执行。
此外,BleepingComputer 观察到恶意“Setup.exe”在下载第 2 阶段有效负载之前,会联系另一台 C2 服务器 (95.216.181.10) 以获取 C2 配置。
VIDAR 的第 2 阶段通常包括下载带有额外 DLL 依赖项和模块的 ZIP 存档,这将有助于其凭据盗窃和信息窃取活动:
Vidar 变体试图从受感染机器窃取的数据包括以下内容:
- 所有流行的浏览器信息,例如密码、cookie、历史记录和信用卡详细信息。
- 加密货币钱包。
- 根据 TA 给出的正则表达式字符串的文件。
- Windows 版本的电报凭据。
- 文件传输应用信息(WINSCP、FTP、FileZilla)
- 邮寄申请资料。
安全研究员和漏洞赏金猎人0x0Luke 进一步分析了针对 GIMP 用户的恶意广告活动,并描述了所有“Setup.exe”正在窃取的内容。
此前,使用 VIDAR 的域名仿冒活动针对至少 27 种软件产品的用户,包括 Notepad++、Microsoft Visual Studio 和 Brave 浏览器。
在另一个例子中,使用 VIDAR 的威胁行为者被发现滥用开源社交网络平台Mastodon ,以静默检索恶意软件的 C2 配置。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » GIMP.org 的 Google 广告通过相似网站投放信息窃取恶意软件
