Quando cerchi Gimp e l’annuncio di Google ti fa scaricare un malware

Raoul Scarazzini
4

Brutta storia quella successa a Gimp e raccontata da Bleeping Computer: cercando su Google la parola chiave “Gimp” il primo risultato ad apparire, quello sponsorizzato, pur essendo all’apparenza legittimo, in realtà dopo il click portava allo scaricamento di un eseguibile di 700 MB (!) contenente quello che a tutti gli effetti era un malware.

Per intenderci, ciò che si presentava agli utenti era essenzialmente questo:

Quindi un annuncio all’apparenza autentico che però portava a scaricare un bellissimo setup.exe per la più classica delle auto infezioni possibili: l’installazione autonoma del software malevolo.

Un utente Reddit, ZachIngram04, ha pubblicato la URL dropbox a cui il link faceva riferimento, ma quel che è peggio è che poco dopo il file che veniva scaricato è stato sostituito con un’altra versione, ancora più malevola, che faceva riferimento al sito fake gilimp.org.

Ma come è stato possibile che una cosa simile avvenisse?

Le analisi sono ancora in corso, un’ipotesi è quella delle lingue, in particolare lo sfruttamento di una tecnica chiamata IDN homograph. Questa tecnica permette al malfattore di creare un Google AD che sfrutta l’assonanza latina di parole cirilliche. Si associano così siti non ufficiali, in questo caso xn--gmp-jhd.org, alle loro controparti latine, quindi gimp.org.

Altra ipotesi è quella dell’utilizzo di differenti URL all’interno dell’annuncio, poiché Google prevede un display URL e un landing URL, ma sebbene queste due possano essere diverse esistono (ovviamente) delle regole di relazione da rispettare.

Probabile esiste un bug di Google AD sfruttabile magari utilizzando un approccio che usi un mix delle due ipotesi descritte.

Non cambia però la sostanza prima che il problema fosse risolto qualcuno (forse più di qualcuno) è stato certamente infettato.

Inutile aggiungere altro, più che altro vale la pena ricordare come il web sia tutto tranne che un posto sicuro, pertanto la regola è e rimane una sola: trust no one.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

,

4 risposte a “Quando cerchi Gimp e l’annuncio di Google ti fa scaricare un malware”

  1. Avatar amedeo lanza
    amedeo lanza

    Vedere un link sponsorizzato per un software gratuito e open source dovrebbe sempre rendere sospettosi. Non so se abbiano perso il vizio ma ricordo che anni addietro si trovavano una pletora di download dei software gratuiti più popolari, impacchettati con degli installer che si portavano dietro una marea di adware e porcherie varie.
    Anni fa, ripulendo il pc di un amico ho perso un’ora a fare disinstallazioni continuando ogni volta a trovare rumenta diversa. Fino a quando mi sono accorto che durante la disinstallazione, oltre alle richieste ‘vuoi disinstallare…’ ne infilavano altre del tipo: ‘visto che togli questo, vuoi provare quest’altro ?’ a cui rispondevo si senza leggere, pensando che fossero le solite implorazioni a non rimuovere il software.

  2. Avatar Rickyx
    Rickyx

    Dark pattern a manetta!

  3. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Urca quella del “visto che disinstalli questo vuoi provare quest’altro?” proprio mi mancava!

  4. Avatar BlaBla
    BlaBla

    Tutto sempre grazie alla struttura neolitica di Windows che permette di eseguire flfacilmente file scaricati da ogni come se niente fosse

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2907) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (89) Linux (672) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (36) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)