Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google

02 stycznia 2023, 11:20 | Aktualności | komentarze 52

W zasadzie wszystko zawarte jest w tytule, ale może jednak nazbyt skrótowo ;-) W każdym razie Rafał w tym wątku zgłosił nam swoją historię:

Zaczęło się od poszukiwania w google strony GIMPa. Wyglądało to mniej więcej tak:

Spoko, tylko strona na którą kierowała reklama wyglądała tak:

Najpewniej w instalce był tego typu infostealer:

Jak widzicie, potrafi on poza hasłami logowania wykradać również (dowolne) ciasteczka z przeglądarki – więc jeśli gdzieś jesteście zalogowani, to atakujący może ominąć również mechanizm 2FA – po prostu przejmuje Waszą zalogowaną już sesję!

Wracając do historii Rafała: atakujący przejęli mu konto google / kanał youtube, na którym zaczął się pokazywać crypto scam:

Rafał: [przejęli mi konto na YT], nie wiem jakim cudem. Ostatnio instalowałem GIMP’a (ktory się nie zainstalował i dziwnie wyglądał), co ciekawe źródło oficjalne z ich strony org, ale instalator nie odpalił. Może wtedy wlazł trojan. (…) Google i YT przejęty, teraz Musk sprzedaje tam crypto. Dziwię, że na YT i Google nawet nie ma żadnego @ by zgłosić ręcznie blokadę takiego konta. Masakra, w sumie zabezpieczeń na po fakcie nic nie mają. Po co mi instrukcja obecnie jak zabezpieczyć konto, jak już jest po fakcie włamu. Wszystkie inny hasła już pozmieniane, bo pamiętajcie (jak dacie taką możliwość), że Google na koncie będzie je pamiętał, a do bankowości i stron wrażliwych nigdy nie ich nie zapisuj (ja tak robię więc tu ufff w zasadzie).

I dalej:

Rafał: Miałem rację z tym Gimpem, (…) czyli akcję „promuje” samo Google, strona wyglada normalnie, z poprawnym adresem, a przekierowuje na link z zainfekowaną wersją i trojanem. Słabe to :(.

Rafał: (…) potrzebowałem akurat Gimpa, natomiast adres strony w podgladzie byl ok – sprawdzam zawsze na google przed sciagnieciem czegos i był to gimp.org, stronka zatem dobra, potem zdaje się przekierowuje na fejkowy link z podstawionym plikiem. Wszystko sie zgadza, mialem cos w srodku kolo 700Mb na exe i plik sie odpalil i zniknal, bez instalacji. Wtedy pewnie wlazl trojan. Ale jest swiatelko w tunelu, dzis na zhakowanym koncie bez dostepu pojawil sie zapasowy adres (moj stary) i moglem wybrac taka opcje, przyszedl mail z informacja krytyczna o bezpieczenstwie – https://i.imgur.com/7lCBJwF.jpg wiec jest swiatelko w tunelu. Chyba bot Googla wylapal niestandardowe zachowanie.

Rady?

  1. Zainstalujcie AdBlockera – np. uBlock origin.
  2. Dokładnie sprawdzajcie pasek adresu strony, z której pobieracie instalatory. Czasem różnica z oryginałem może być minimalna:

3. Przed instalacją warto przeskanować plik instalacyjny w serwisie virustotal.com
4. Konto Google: pamiętaj o silnym haśle (idealnie > 15 znaków), włącz dwustopniowe uwierzytelnienie oraz wygeneruj kody zapasowe (mogą być one potrzebne do sprawnego odzyskania dostępu do konta, jeśli stracisz do niego dostęp). Wszystko to możesz zrobić na zakładce Security (https://myaccount.google[.]com/security)

5. Rozważ skonfigurowanie Google Advanced Protection.

Chciałbyś otrzymywać skrót takich newsów / wpisów na e-mail? Zapisz się tutaj:

W skrócie: na podanego maila wysyłamy tylko RSS (skrót) z newsów. Bardziej formalnie:
Administratorem Twoich danych osobowych jest SECURITUM SZKOLENIA spółka z ograniczoną odpowiedzialnością sp. k. z siedzibą w Krakowie, KRS: 0000636991. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Bartek

    Dlaczego w 2022/2023 roku ciastka sesyjne nie sa powiazane chociaz z IP ?

    Odpowiedz
    • Mogą być / ale nie muszą – kwestia jak to jest skonfigurowane po stronie serwera (pamiętaj np. o usługach mobilnych czy loadbalancingu IP)

      Odpowiedz
      • Krzysiek

        Nie tylko

        Odpowiedz
    • Grzegorz

      Bo w części telekomów IP mogło się zmienić przy zmianie masztu. Więc by wylogowywało tych co korzystaj z internetu mogilnego.

      Odpowiedz
      • Marcin

        W sieci komórkowej IP usera nie zmienia się przy zmianie masztu, tylko po wygaśnięciu sesji i to też nie tak od razu, timery są ustawiane na czas od kilku godzin do doby.
        (GGSN – to taki gateway pomiędzy Core Networkiem operatora a Internetem, tam są mapowane IP na MSISDN).

        Odpowiedz
    • Sylwek

      Właśnie w 2023 roku nie sesja nie powinna być powiązana z IP.
      Wyobraź sobie że wchodzisz w domu na stronę przez wifi w komórce i przechodzisz do innego pokoju/na zewnątrz gdzie wifi traci zasięg i komórka automatycznie przełącza się na połączenie GSM.

      Odpowiedz
    • Nux

      W sumie ta historia jest o tyle dziwne, że powinien dostać alert bezpieczeństwa. Sesja nie jest blokowana, ale wejścia z nietypowych IP zawsze są zgłaszane z tego co pamiętam. Chyba że atakujący zdążył skasować maila. Albo może samo wejście na YT nie jest tak chronione.
      https://support.google.com/accounts/answer/2590353?hl=en

      Odpowiedz
  2. Adam

    Jako laik ciekawi mnie, jak się zachował Windows Defender przy próbie instalacji/skanowania tego zainfekowanego pliku

    Odpowiedz
    • RejFitPolska

      Windows Defender tego typu wirusa nie wykryje szczególnie że on dopiero się włącza po odpaleniu aplikacji lub jej zainstalowania przez instalator a Marvarebytes by odrazu go wykrył ponieważ sprawdza pokrewne pliki aplikacji jak i sam rejestr komputera bardzo dokładnie. Bo pamiętaj że każdy wirus musi mieć jakiś plik aktywacyjny nie musi być to koniecznie plik .exe

      Odpowiedz
      • Domi

        Ale bzdury piszesz. Defender też analizuje pliki i procesy. Gorzej, że większość nietechnicznych osób jest już tak zniechęcona klikaniem wszystkich ciasteczek, rodo i newsletterów, że z automatu klika tak, dalej, następny. A że Windows ostrzega, że plik pochodzi z internetu, że wymaga uprawnień administratora, to co tam. Przecież jest z „oficjalnej” strony. Przypominam że zdarzały się podmianki instalek nawet na faktycznie prawdzich stronach wydawców.

        Odpowiedz
        • Sylwek

          To że wymaga uprawnień administratora to błąd konstrukcji uprawnień w Windows.
          Dali do dyspozycji aplikacjom uprawnienia zwykłe lub te administratorskie i nic pomiędzy.
          Jaki efekt?
          Nawet najprostsze aplikacje często wymagają uprawnień administratorskich żeby w ogóle działać, a przynajmniej podczas instancji.
          Żadnego użytkownika nie dziwi więc że musi potwierdzić te uprawnienia 15 razy dziennie zupełnie bez powodu.

          Odpowiedz
          • Sylwek

            *Podczas instalacji

          • Maciej

            Przecież gimp nie wymaga praw administratora do instalacji.
            To że wiele instalatorów jest napisanych na odwal i wymaga praw admina niepotrzebnie to nie jest wina Windowsa.

    • Łukasz

      Nie wykryje, zrobiłem to samo. Wykupili mi reklamy na Google i fb bo miałem w nich podpięte karty ale zostały zablokowane z automatu i nie pobrało mi pieniędzy. Mimo podwójnych zabezpieczeń i powiadomień nie wywaliło nic, dopiero mail od Google że zablokowali mi konto z podejrzaną aktywnością uświadomiło mi że coś jest nie tak

      Odpowiedz
  3. johny

    czy istnieje jeszcze jakiś darmowy 'sofcik’ do skanowania kompa w celu wyłapania wszelkiej maści wirusów i innych dziadostw? Czy defender jest wystarczający?

    Odpowiedz
    • RejFitPolska

      Ta istnieje „Marvarebytes” jest płatny lecz jak chcesz do samego skanowania to nie musisz nic płacić a on jest o 100% lepszy niż windows Defender.

      Odpowiedz
      • Domi

        Co to jest Marvarebytes? Jak już tak polecasz to chociaż napisz poprawnie Malwarebytes. Chyba, że próbujesz wypromować właśnie jakiś malware pod taką nazwą i liczysz że ktoś wyszuka wpisując to co podałeś…

        Odpowiedz
  4. Piotr

    Nie rozumiem dlaczego w dalszym ciągu jest możliwe wykradzenie ciasteczek sesyjnych. To od dawna powinno być jakoś zabezpieczone, żeby powiązać to z danym urządzeniem / adresem IP

    Odpowiedz
    • No dobra, ale jak masz malware na kompie + dzięki niemu dostęp do ciasteczek. To przecież adres IP będzie się zgadzał (jeśli atakujący zrobi tunel przez Twojego kompa). Poza tym proponuje prosty test: jesteś zalogowany do Twojego konta Google i jesteś na necie z telefonu za chwilę wbijasz na Twój IP domowy – wylogowało Cię automatem?

      Odpowiedz
  5. Rafal

    Sprawdźcie screen z adresem strony, tak jak jest opisane, moim zdaniem to nie jest drobna zmiana.

    Odpowiedz
  6. chester

    Omijanie 2FA to nic szczególnego, wczoraj kot to zrobił i przejął kontrolę nad klawiaturą w moim superbezpiecznym labie ;-)
    Ataki w warstwie fizycznej zawsze na propsie :D

    Odpowiedz
  7. TomZiel

    Dlatego przerzuciłem się na instalowanie wszystkiego co można wingetem

    Odpowiedz
  8. Mila

    Spoko, właśnie w ten sposób utraciłam swoje 13 letnie konto na Facebooku, w rezultacie ktoś wysyłał treści o podłożu terrorystycznym i od 6 listopada wisi blokada. :’)

    Odpowiedz
    • Taa jasne

      Konto utraciłaś bo klikasz w linki na fb gdzie adres strony ma 40 znaków a temat to porwanie dzieci, biedronka rozdaje bony czy kliknij i odbierz voucher. Durna jesteś to teraz płacz.

      Odpowiedz
      • Mila

        Uwierz, że mam na tyle oleju w głowie żeby nie klikać w tak durne linki. Instalowałam programy do nowego laptopa, wgrał mi się program, którego nie byłam w stanie odinstalować. ;)

        Odpowiedz
    • Patzie

      Straszne, tyle ciężkiej pracy nad wklejaniem samojebek dla like’ów od setek „znajomych”. Jak tu sobie teraz podnieść samoocenę? ;>

      Odpowiedz
      • Mila

        Jesteś pewny co do tego co wstawiałam, dlaczego wstawiałam i dlaczego żal i utraty konta? Nie, nie chodzi mi o jakieś lajki, bo nie wstawiałam tam praktycznie zdjęć. Miałam tam cholerną pamiątkę po moim chłopaku, którego już nie ma. Żal mi tego. Tyle.

        Odpowiedz
  9. Marek

    Jak dobrze być Linuksiarzem

    Odpowiedz
  10. cml

    Bardzo przydatny wpis. W ogóle jedno, pod koniec:
    „W skrócie: na podatnego maila wysyłamy tylko RSS (skrót) z newsów.”
    To „podatnego” zamiast „podanego” to błąd czy może delikatna sugestia, żeby zawsze mieć się na baczności wpisując swój adres w formularz? :)

    Odpowiedz
    • Nam już wszystko z jednym się kojarzy ;) Poprawiono literówkę!

      Odpowiedz
  11. Ja

    Polecam przeglądarkę Brave i ich wyszukiwarkę, przeglądarka jest bezkonkurencyjna!

    Odpowiedz
  12. qba

    Ja nigdy nie klikam w reklamy i jest spokój, jak ktoś wbija na coś co jest na samej górze i pierwsze pod ręką to są problemy. To już kolejny taki przypadek o którym czytam, ludzie nie uczą się na cudzych błędach

    Odpowiedz
  13. Krzysztof

    Czyli, że w reklamie był adres gimp.org, a po kliknięciu przeniosło na inną stronę?

    Odpowiedz
    • M.

      Tak, „adres” pokazywany w reklamach Google nie jest adresem do którego faktycznie kieruje reklama.

      Odpowiedz
      • VNT

        To jakis zart. Jak mozna pozwalac na reklamowanie innego adresu niz faktycznie przekierowywany?

        Odpowiedz
  14. Licho

    Dlaczego jedna aplikacja ma dostęp do drugiej aplikacji? Gdzie jest kontrola przywilejów? Ja się teraz męczę na waylandzie tylko po to żeby mieć izolowany schowek i móc bezpiecznie kopiować sobie hasło z okienka do okienka.

    Odpowiedz
  15. user

    Ja dodam od siebie aby ogólnie unikać klikania w reklamy. Klikajcie w reklamy apple, microsoftu, google a przy mniejszych firmach lub projektach open source przewińcie nieco w dół. Nie uszczuplicie budżetu tej jednostki i nie złapiecie syfu – dwie pieczenie na jednym ogniu ;)

    Odpowiedz
  16. tomek

    Mam takie pytanie. Na swoim komputerze mam tak zrobione, że np. jak wchodzę do allegro, to nie muszę się logować za każdym razem, ale na innym komputerze muszę się zalogować i potwierdzić to przez kod weryfikacyjny. Czy jeśli przydarzyło by się coś takiego jak tutaj opisane, to czy takie zabezpieczenie zadziała? Tzn. czy ktoś będzie w stanie zalogować się np. do takiego allegro z innego komputera?

    Odpowiedz
    • Kamil

      Tak, będzie mógł bo ma Twoje cookies.

      Odpowiedz
  17. DobraRada

    choco install gimp

    Odpowiedz
  18. Gargamel

    Google Ads jak zwykle dało ciała.
    Nie wykryło złośliwego oprogramowania,
    Nie zauważyli podmiany linka (destination mismatch)
    Przegapili użycie znaku towarowego.
    Czyli 3 różne polityki Google Ads naruszone, a reklama nadal hula.
    Ale założę się, że budżety były wysokie i oszuści płacili na czas. Iks. De.

    Odpowiedz
    • Artur

      Norma. Google ma dużo zasad w swoich usługach, ale żadnych nie przestrzega. No i brak kontaktu z tą niby firmą w jakiejkolwiek sprawie.

      Odpowiedz
  19. Michał

    Chciałbym się tylko upewnić- gdyby użytkownik miał 2FA w postaci kodu z aplikacji lun yubikey to czy na pewno się stracił by dostępów do Google / YT ?

    Odpowiedz
    • Jak Ci przechwycą zalogowaną sesję to żadne 2FA nie pomoże (bo 2FA działa w momencie inicjowania sesji, później jak klikasz po aplikacji/koncie to przecież nie musisz podawać hasła/2FA – no chyba że dostęp do bardziej wrażliwych funkcji typu skasowanie konta)

      Odpowiedz
  20. Tak nikt

    „Silne hasło i uwierzytelnianie dwuskładnikowe” tylko że te funkcje w przypadku takich zagrożeń jak wykorzystanie sesji użytkownika nie pomoże. Dobrze wie, bo odczułem na własnej skórze taki atak.

    Odpowiedz
  21. Taki nikt

    Wiem po sobie że silne hasło czy weryfikacja dwuskładnikowa nie pomaga na takie ataki. Pozostaje uważnie czytać i nie klikać w reklamy.

    Odpowiedz
  22. Kamil

    Ostatnio znajomy pobrał gimpa i wydaje mi się, że było podobnie i też pobrał tego trojana. Jak na razie nic mu stać się nie stało, ale co można teraz z tym zrobić?

    Odpowiedz
  23. Sernik

    Rady w artykule – a może nie używać do wyszukiwania google i wtedy nie ma problemu co? Jak wiemy google mocno się sprzedaje (żeby nie napisać dosadniej) przykład to allegro, wyszukaj cokolwiek w googlu to pierwszy wynik masz do allegro.
    Jest tyle innych wyszukiwarek bing, duckduck, startpage a nawet polecany przez was w szkoleniu opsec/osint yandex.
    Poleciliście uBlock Origin to do tego listy certu (CERT.PL’s Warning List).
    Inna sprawa widzę po znajomych, że mają taką dziwną manierę, włączają przeglądarkę i od razu logują się do ekosystemu googla i tak przeglądają internet.
    W Firefox jest konteneryzacja umożliwiająca odizolowane od siebie zalogowanych usług czy to by pomogło użytkownikowi przy tym ataku ?

    Odpowiedz
  24. Lgr

    Uff… Prawie pobrałem z tej strony… Ale zaświeciła mi się lampka, że skoro strona daje możliwość pobrania z Microsoft Store (obok torrent, który z jakiegoś powodu jest dla mnie głównym źródłem zagrożeń virusowych), to pobiorę bezpośrednio z Microsoft Store w nadziei, że dobrze dbają tam o bezpieczeństwo…

    Odpowiedz
  25. robik

    polecam używać adblock-a by nie mieć takich problemow

    Odpowiedz
  26. Werner

    Czy użytkowanie windowsa z poziomu konta „standardowego” (nie admina), może uchronić przed skutkami uruchomienia takiego GIMP malware’u?

    Odpowiedz
  27. linux

    to była podszywka gi-LI-mp zamiast gimp org

    Odpowiedz

Odpowiedz