Le premier lien affiché par Google renvoyait vers une copie malveillante du site GIMP.
Une copie du site de GIMP avec un bouton Télécharger
Jusqu'à la semaine dernière, taper la requête « GIMP » dans le moteur de recherche de Google avait de grandes chances d'afficher en premier résultat un lien sponsorisé. D'apparence, celui-ci avait l'air légitime, indiquant bien l'adresse URL gimp.org et ne laissant pas supposer qu'il puisse s'agir d'un piège.
Mais en cliquant sur le lien, l'utilisateur n'était pas redirigé vers gimp.org, mais vers gilimp.org, un site malveillant qui copie l'interface du site officiel de GIMP et qui propose de télécharger le fameux logiciel d'édition d'image.
Sauf que ce n'est pas GIMP qui se télécharge sur l'ordinateur de la victime, mais un malware. Celui-ci pèse moins de 5 Mo, mais apparaît comme ayant une taille de 700 Mo pour ne pas attirer l'attention de l'utilisateur, qui s'attend à ce qu'un tel logiciel ait un certain poids.
Le malware VIDAR siphonne les données de navigation
Le malware en question est un cheval de Troie nommé VIDAR, qui vole différentes données sur les appareils infectés, dont les informations de navigation web, incluant les identifiants, les mots de passe, les cookies, l'historique et les détails des cartes bancaires. Des données concernant les portefeuilles de crypto-monnaie, les transferts de fichiers (WINSCP, FTP, FileZilla) et les formulaires de saisie peuvent aussi être subtilisées.
À ce stade, la manière dont les pirates ont réussi à utiliser le véritable nom de domaine de GIMP dans leur publicité n'est pas encore claire, de même qu'une vulnérabilité dans Google Ad Manager peut être à mettre en cause.
En effet, le système permet bien de créer des annonces avec deux URL différentes afin d'afficher une adresse plus attractive que la réelle, mais celles-ci doivent utiliser le même domaine que l'URL de destination, ce qui n'est pas le cas ici.
Source : Bleeping Computer
24 juillet 2024 à 16h32
