🔴 LE BLACK FRIDAY EN DIRECT ! 🔴 LE BLACK FRIDAY EN DIRECT !

Le site officiel de GIMP copié pour diffuser un malware

02 novembre 2022 à 13h06
6
Ordinateur code © © Christopher Gower / Unsplash
© Christopher Gower / Unsplash

Le premier lien affiché par Google renvoyait vers une copie malveillante du site GIMP.

Des pirates ont réussi à abuser la régie publicitaire de Google pour mettre en avant un site de phishing copiant celui du service open source GIMP, et qui cachait un malware.

Une copie du site de GIMP avec un bouton Télécharger

Jusqu'à la semaine dernière, taper la requête « GIMP » dans le moteur de recherche de Google avait de grandes chances d'afficher en premier résultat un lien sponsorisé. D'apparence, celui-ci avait l'air légitime, indiquant bien l'adresse URL gimp.org et ne laissant pas supposer qu'il puisse s'agir d'un piège.

Mais en cliquant sur le lien, l'utilisateur n'était pas redirigé vers gimp.org, mais vers gilimp.org, un site malveillant qui copie l'interface du site officiel de GIMP et qui propose de télécharger le fameux logiciel d'édition d'image.

GIMP faux site © © Bleeping Computer
© Bleeping Computer

Sauf que ce n'est pas GIMP qui se télécharge sur l'ordinateur de la victime, mais un malware. Celui-ci pèse moins de 5 Mo, mais apparaît comme ayant une taille de 700 Mo pour ne pas attirer l'attention de l'utilisateur, qui s'attend à ce qu'un tel logiciel ait un certain poids.

Le malware VIDAR siphonne les données de navigation

Le malware en question est un cheval de Troie nommé VIDAR, qui vole différentes données sur les appareils infectés, dont les informations de navigation web, incluant les identifiants, les mots de passe, les cookies, l'historique et les détails des cartes bancaires. Des données concernant les portefeuilles de crypto-monnaie, les transferts de fichiers (WINSCP, FTP, FileZilla) et les formulaires de saisie peuvent aussi être subtilisées.

À ce stade, la manière dont les pirates ont réussi à utiliser le véritable nom de domaine de GIMP dans leur publicité n'est pas encore claire, de même qu'une vulnérabilité dans Google Ad Manager peut être à mettre en cause.

En effet, le système permet bien de créer des annonces avec deux URL différentes afin d'afficher une adresse plus attractive que la réelle, mais celles-ci doivent utiliser le même domaine que l'URL de destination, ce qui n'est pas le cas ici.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
7
gemini7
Les pirates sont ingénieux, et il faut faire attention à tout de nos jours.<br /> Mais ça laisse présager une informatique, utilisable seulement par des pros de la sécurité.<br /> Triste, car madame ou monsieur Michu ne sont pas des pros, donc ils se feront avoir un jour ou l’autre…
Loposo
Ça me rappelle handbrake ou la c était le fichier direct du server qui avait été remplacé<br /> Comme c est des soft open source les gens font aussi trop confiance.<br /> A la fin on va finir par croire que des softs crack par des team réputé depuis ma plus tendre enfance jamais de probleme, et parfois dénonce des pratique pas belle de certains dev ce qui les force à arrêter la récoltes de data etc<br /> Clubic.com – 10 May 17<br /> Mac : Handbrake cachait un virus. Etes-vous infecté ?<br /> Les hackers s'intéressent de plus en plus aux ordinateurs d'Apple bien qu'Android et Windows restent leurs cibles préférées. Moins fréquentes, les attaques contre macOS sont plus sournoises comme le montre la dernière recensée et confirmée. Elle a...<br />
octokitty
Cette affaire ne va pas plus rassurer les utilisateurs et poussera un peu plus vers l’adblocking.<br /> Peut être qu’il y avait un redirecteur sur gimp.org qui est exploité par des acteurs malveillants, avec des paramètres obfusqués. Ce qui permet une redirection vers les miroirs contenant les malware. Google n’y aurait vu que du feu après que les acteurs aient pu soumettre l’URL dans Google Ads.
merotic
Flippant !!!<br /> Télécharger sur de l’officiel demande d’être aussi vigilant que de traverser une route.
Squeak
Il faut certes se rendre toujours sur le site officiel mais je confirme que pour un utilisateur non averti, ça pourrait vite être trompeur. Beaucoup en effet cliquent sur le premier résultat qui vient, y compris quand c’est « sponsorisé ». GIMP a déjà été victime de ce genre de procédés malveillants autrefois où des sites de téléchargement étaient mis en avant via les liens sponsorisés et où l’installeur était accompagné d’adwares.
_DARKWOLF_1_1
Je viens de tester l’url malicieuse, et uBlock m’a tout de suite empêché d’y accéder. Un très bon point, mais tout le monde n’a pas installé ce genre d’extension.
Voir tous les messages sur le forum

Derniers actualités

Cyber Monday Amazon : TOP 10 des promos high-tech ce lundi !
Pour le Cyber Monday, NordVPN prolonge son offre canon à -63%
Attention, cette extension Chrome veut voler votre portefeuille crypto ET vos mots de passes
Black Friday Amazon et Cdiscount : les 50 bons plans encore disponibles !
Est-ce l'avenir ? Cette maison a été imprimée en 3D et assemblée en une demi-journée
Quand l'app de billetterie de la Coupe du monde crashe... et laisse les spectateurs hors du stade
Black Friday Apple : économisez 100€ sur le dernier iPad Air et sa puce M1
3 bonnes raisons de s’équiper du VPN CyberGhost durant le Black Friday
Mettez votre casque de pilote, Star Wars: Squadrons est actuellement gratuit !
Voici les dernières offres du Black Friday chez Amazon 🔥
Haut de page