-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Umieścili w Google fałszywą reklamę popularnego narzędzia graficznego – GIMP. Link prowadził do strony ze złośliwym oprogramowaniem…

02 listopada 2022, 10:28 | Aktualności | komentarzy 8
TL;DR – Napastnicy stojący za fałszywymi kampaniami reklamowymi ponownie atakują. Tym razem na tapecie narzędzie GIMP i stealer VIDAR.

W serwisie reddit pojawił się wątek na którym wskazano reklamę narzędzia GIMP jako fałszywą. Badacz bezpieczeństwa 0x0luke potwierdził to zdarzenie i swoją analizą podzielił się na Twitterze

Atak “ad hijacking” polega na wykupieniu reklamy w wyszukiwarce np. w Google Ads dotyczącej wyszukiwania konkretnego słowa (w tym przypadku “gimp”), gdzie na pierwszym miejscu wyników wyszukiwania jest prezentowana fałszywa strona. Po kliknięciu w reklamę, link  prowadzi do strony o identycznym wyglądzie skąd ofiara nieświadomie pobiera narzędzie GIMP ze złośliwym kodem. Narzędzie GIMP cieszy się dużą popularnością ze względu na fakt, że jest darmowe, a oferuje podobne funkcje co płatny odpowiednik – Adobe Photoshop.

Rys. 1. Reklama ze złośliwym linkiem, który wygląda na prawidłową domenę gimp.org.

Po wpisaniu w wyszukiwarce słowa “gimp” użytkownikowi wyświetlała się na pierwszym miejscu reklama z odnośnikiem do strony gimp.org jednak po kliknięciu trafiał on na stronę gilimp[.]org

Rys. 2. Fałszywa strona do pobrania narzędzia GIMP. Klon strony oryginalnej.

Reklama została stosunkowo szybko zdjęta z wyników wyszukiwań dzięki reakcji zespołu GIMP zgłaszając sprawę do Google Inc. Jednak pojawiła się kolejna jej wersja kierująca do strony gimp[.]monster z tym samym złośliwym oprogramowaniem. Na początku społeczność zadawała sobie pytanie na jakiej podstawie reklama sponsorowana wyświetla wyniki w wyszukiwarce Google z inną stroną niż do której kieruje. W toku analizy wykluczono technikę podmiany homografów polegającą na wykorzystaniu w nazwie domeny znaków alfabetu innego niż łaciński ale łudząco podobnych. Nasze przykłady możesz sprawdzić tutaj i tutaj. W tym konkretnym przypadku mogłoby to być wykorzystanie znaków cyrylicy wyglądających jak “gimp.org”, a po wejściu na stronę (po kliknięciu) jako: “xn–gmp-jhd.org”. Jednak tę technikę wykluczono patrząc na wygląd domen: gilimp[.]org oraz gimp[.]monster.

Gdzie więc leży problem?

Google pozwala tworzyć reklamy z dwoma adresami URL: adresem wyświetlanym “display URL” oraz adresem kierującym “landing URL”. Oba adresy nie muszą być jednakowe jednak istnieje ścisła reguła związana z faktem, że oba adresy muszą znajdować się w jednej domenie – jak tłumaczy dokumentacja Google Ad Managera. Czy w takim razie istnieje aktywny bug w w/w. narzędziu lub istnieje ciche przyzwolenie na brak walidacji adresów? Google zostało poproszone o komentarz jednak nie uzyskano jeszcze oficjalnej odpowiedzi.

Po ściągnięciu zainfekowanej wersji narzędzia o wielkości 700 MB z sumą f077e9f0a25e6c73e7c2c886026af70d74cb2b6ae4ad1461dfae692d94d63ccc okazuje się, że za pomocą komendy sed '$ s/\x30*$//’ Setup.exe > Setup_stripped.exe można było zweryfikować prawdziwą wielkość pliku wynoszącą zaledwie 4.92 MB. Użyto tutaj techniki maskowania “binary padding” wypełniając nadmiarowo kod programu danymi bez znaczenia po to by urzeczywistnić wielkość pobieranego fałszywego pliku względem oryginału, który użytkownik miał zamiar pobrać. Technika służy także do zmiany hasha sumy by móc zmylić porównywanie sygnatur prostych systemów antywirusowych.

Po uruchomieniu złośliwego oprogramowania okazuje się, że natychmiast komunikuje się on z serwerem zarządzania C2 pod adresem hxxp://91[.]213[.]50[.]70/Htcnwiij.bmp. Pod linkiem jednak nie znajduje się obrazek, a biblioteka DLL z ciągiem instrukcji w postaci szesnastkowej do pobrania i instalacji malware: 

CA5837C6B4CDDE0E3EF9942BA308CA19E9B51439048BD0C2FCF5753E1403A517

Na podstawie powyższych identyfikatorów naruszenia (IoC) stwierdzono, że złośliwe oprogramowanie to stealer VIDAR, który dokładnie w taki sam sposób prezentował się kilka dni wcześniej w fałszywych reklamach w serwisie YouTube jako “Office 365 cr[a]ck” o czym informował użytkownik 0xToxin. Próbka do samodzielnej analizy znajduje się pod tym adresem.

Rys. 3. Informacja badacza nt. stealera VIDAR.

Po komunikacji z serwerem C2, pobierane jest archiwum ZIP z dodatkowymi bibliotekami DLL wspierającymi wykradanie danych i przekazywanie ich do napastników.

Rys. 4. Biblioteki DLL pobierane po uruchomieniu infekcji, źródło.

Badana wersja infekcji wykrada co najmniej następujące dane:

  • dane z przeglądarek w postaci haseł, plików cookie, historii wyszukiwania i dane kart bankowych
  • dane portfeli kryptowalutowych
  • dane uwierzytelniające do konta Telegram w systemie Windows
  • dane uwierzytelniające zapisane w narzędziach do transferu danych (WinSCP, FTP, FileZilla)
  • dane uwierzytelniające z aplikacji obsługujących e-mail (Outlook, Thunderbird)

Poprzednie ataki wykorzystujące stealer VIDAR dotknęły co najmniej 27 różnych programów, m.in. Notepad++, Thunderbird, Tor Browser, Microsoft Visual Studio. Tym samym sposobem opisywaliśmy niedawny atak na aplikację dBeaver. Zalecamy ostrożność w otwieraniu reklam w wyszukiwarkach. Dobrym sposobem ochrony może być też zainstalowanie jednego z popularnych adblockerów.

Spotkaliście się z podobnymi fałszywymi reklamami? Napiszcie w komentarzu.

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. B

    Wiemy jak długo ten phishing był aktywny i w jakim okresie czasu?

    Odpowiedz
    • Tomasz Turba

      Prawdopodobnie 29-30.10.2022 tylko, albo aż.

      Odpowiedz
  2. Kacper

    Do niedawna identycznie fakowa strona Rufusa w wyszukiwarce wyskakiwała w reklamach na szczycie. Też lewy plik się pobierał, też co do bita rozmiar ten sam, ikona ta sama, strona identyczna. :) Chyba ze 3-4 miesiące wisiała.

    Odpowiedz
  3. Mateusz

    Wiecie kiedy dokładnie były serwowane te reklamy? Obawiam się, że dałem polecenie pobrania GIMPa przez telefon kilka tygodni temu i natrafiła ta osoba właśnie na tą reklamę (nie kontrolowałem stojąc u boku). Jakiś antywirus już to wykrywa? Chciałbym móc to jakoś zweryfikować zakładając, że instalator został już wykasowany.

    Odpowiedz
    • Tomasz Turba

      Reklama sama 29.10, zdjęta 30.10.

      Odpowiedz
  4. Peeter

    Co prawda nie wykorzystuję pełni programu GIMP, także najaktualniejsza wersja nie jest mi potrzebna, najbardziej upodobałem sobie wersję 2.6.1 i jej instalkę trzymam na swoim dysku Google, skąd zawsze ją ściagam na konkretne urządzenie.

    Odpowiedz
  5. Da się bardzo łatwo zrobić taką reklamę. Jeszcze kilka miesięcy temu pracowałem dla jednej z firm, w której treść reklamy była inna a strona była inna.

    Odpowiedz
    • Mariusz

      niesamowite…..

      Odpowiedz

Odpowiedz na Kacper