Fałszywa reklama popularnego programu na Google ad, zamiast aplikacji wysyłała malware

Google ad zostało wykorzystane przez grupę hackerów do rozprzestrzeniania złośliwego oprogramowania. Złośliwa reklama mogła pozyskać dane identyfikacyjne osoby i inne poufne informacje.

Hackerom podobno udało się oszukać Google Ad Manager do wyświetlania fałszywej reklamy popularnego edytora zdjęć GIMP, co oznacza, że ci, którzy chcieli pobrać program, skończyli tylko z potężnym infostealerem o nazwie Vidar.

Za każdym razem, gdy ofiara wpisywała w wyszukiwarce Google “GIMP” lub podobne słowo kluczowe, otrzymywała między innymi reklamę przedstawiającą oficjalną stronę GIMP-a – GIMP.org. Jednak kliknięcie na reklamę nie odesłałoby ofiary do tej konkretnej domeny, ale raczej do gilimp.org lub gimp.monster. Tam oferowano im pobranie pliku o rozmiarze 700 MB, nadmuchanego pliku wykonywalnego, który w rzeczywistości ma tylko 5 MB — infostealer Vidar.

Jak to stało się możliwe, nadal nie jest do końca wiadome. Niektórzy badacze uważają, że wykorzystano technikę homografu IDN, by przy użyciu czcionki cyrylica nazwa gіmp.org — została wpisana jako http://xn--gmp-jhd.org/, pojawiła się jako gimp.org w alfabecie łacińskim, inni są zdania, że sztuczka jest znacznie mniej skomplikowana.

W rzeczywistości BleepingComputer donosi, że Google pozwala wydawcom tworzyć reklamy z dwoma różnymi adresami URL — jeden do serwowania do widzów, a drugi, gdzie będą one faktycznie podjęte. Rzekomo Google jest dość rygorystyczny w tych sprawach pozwalając np. tylko na te, które używają tej samej domeny. Jak, lub dlaczego, Ad Manager pozwolił na uruchomienie tej konkretnej kampanii nie wiadomo. Google nadal milczy w tej sprawie.

Vidar jest znanym infostealerem zdolnym do przechwytywania informacji o przeglądarce (haseł, ciasteczek, przechowywanych informacji o kartach kredytowych i podobnych), informacji o portfelu kryptowalut, danych uwierzytelniających Telegram, informacji o aplikacji do przesyłania plików i wielu innych wrażliwych danych.