Le site officiel de GIMP copié pour diffuser un malware

Alexandre Schmid
02 novembre 2022 à 13h06
6
© Christopher Gower / Unsplash
© Christopher Gower / Unsplash

Le premier lien affiché par Google renvoyait vers une copie malveillante du site GIMP.

Des pirates ont réussi à abuser la régie publicitaire de Google pour mettre en avant un site de phishing copiant celui du service open source GIMP, et qui cachait un malware.

Une copie du site de GIMP avec un bouton Télécharger

Jusqu'à la semaine dernière, taper la requête « GIMP » dans le moteur de recherche de Google avait de grandes chances d'afficher en premier résultat un lien sponsorisé. D'apparence, celui-ci avait l'air légitime, indiquant bien l'adresse URL gimp.org et ne laissant pas supposer qu'il puisse s'agir d'un piège.

Mais en cliquant sur le lien, l'utilisateur n'était pas redirigé vers gimp.org, mais vers gilimp.org, un site malveillant qui copie l'interface du site officiel de GIMP et qui propose de télécharger le fameux logiciel d'édition d'image.

© Bleeping Computer
© Bleeping Computer

Sauf que ce n'est pas GIMP qui se télécharge sur l'ordinateur de la victime, mais un malware. Celui-ci pèse moins de 5 Mo, mais apparaît comme ayant une taille de 700 Mo pour ne pas attirer l'attention de l'utilisateur, qui s'attend à ce qu'un tel logiciel ait un certain poids.

Le malware VIDAR siphonne les données de navigation

Le malware en question est un cheval de Troie nommé VIDAR, qui vole différentes données sur les appareils infectés, dont les informations de navigation web, incluant les identifiants, les mots de passe, les cookies, l'historique et les détails des cartes bancaires. Des données concernant les portefeuilles de crypto-monnaie, les transferts de fichiers (WINSCP, FTP, FileZilla) et les formulaires de saisie peuvent aussi être subtilisées.

À ce stade, la manière dont les pirates ont réussi à utiliser le véritable nom de domaine de GIMP dans leur publicité n'est pas encore claire, de même qu'une vulnérabilité dans Google Ad Manager peut être à mettre en cause.

En effet, le système permet bien de créer des annonces avec deux URL différentes afin d'afficher une adresse plus attractive que la réelle, mais celles-ci doivent utiliser le même domaine que l'URL de destination, ce qui n'est pas le cas ici.

Source : Bleeping Computer

Alexandre Schmid

Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (6)

gemini7
Les pirates sont ingénieux, et il faut faire attention à tout de nos jours.<br /> Mais ça laisse présager une informatique, utilisable seulement par des pros de la sécurité.<br /> Triste, car madame ou monsieur Michu ne sont pas des pros, donc ils se feront avoir un jour ou l’autre…
Loposo
Ça me rappelle handbrake ou la c était le fichier direct du server qui avait été remplacé<br /> Comme c est des soft open source les gens font aussi trop confiance.<br /> A la fin on va finir par croire que des softs crack par des team réputé depuis ma plus tendre enfance jamais de probleme, et parfois dénonce des pratique pas belle de certains dev ce qui les force à arrêter la récoltes de data etc<br /> Clubic.com – 10 May 17<br /> Mac : Handbrake cachait un virus. Etes-vous infecté ?<br /> Les hackers s'intéressent de plus en plus aux ordinateurs d'Apple bien qu'Android et Windows restent leurs cibles préférées. Moins fréquentes, les attaques contre macOS sont plus sournoises comme le montre la dernière recensée et confirmée. Elle a...<br />
merotic
Flippant !!!<br /> Télécharger sur de l’officiel demande d’être aussi vigilant que de traverser une route.
Squeak
Il faut certes se rendre toujours sur le site officiel mais je confirme que pour un utilisateur non averti, ça pourrait vite être trompeur. Beaucoup en effet cliquent sur le premier résultat qui vient, y compris quand c’est « sponsorisé ». GIMP a déjà été victime de ce genre de procédés malveillants autrefois où des sites de téléchargement étaient mis en avant via les liens sponsorisés et où l’installeur était accompagné d’adwares.
_DARKWOLF_1_1
Je viens de tester l’url malicieuse, et uBlock m’a tout de suite empêché d’y accéder. Un très bon point, mais tout le monde n’a pas installé ce genre d’extension.
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Attention à ces faux sites ! Google Play, APKPure, PayPal, VidMate... 27 marques usurpées pour vous installer des malwares Attention à ces faux sites ! Google Play, APKPure, PayPal, VidMate... 27 marques usurpées pour vous installer des malwares
Vous devriez désinstaller d'urgence ces 8 applications de votre smartphone Android Vous devriez désinstaller d'urgence ces 8 applications de votre smartphone Android
Brave vous permet maintenant de copier un lien Brave vous permet maintenant de copier un lien "propre", et c'est très cool
De faux programmes d'installation de ZOOM intègrent un spyware De faux programmes d'installation de ZOOM intègrent un spyware
Chrome, Edge : désinstallez vite ces 30 extensions ! Chrome, Edge : désinstallez vite ces 30 extensions !