Quando cerchi Gimp e l’annuncio di Google ti fa scaricare un malware

4

Brutta storia quella successa a Gimp e raccontata da Bleeping Computer: cercando su Google la parola chiave “Gimp” il primo risultato ad apparire, quello sponsorizzato, pur essendo all’apparenza legittimo, in realtà dopo il click portava allo scaricamento di un eseguibile di 700 MB (!) contenente quello che a tutti gli effetti era un malware.

Per intenderci, ciò che si presentava agli utenti era essenzialmente questo:

Quindi un annuncio all’apparenza autentico che però portava a scaricare un bellissimo setup.exe per la più classica delle auto infezioni possibili: l’installazione autonoma del software malevolo.

Un utente Reddit, ZachIngram04, ha pubblicato la URL dropbox a cui il link faceva riferimento, ma quel che è peggio è che poco dopo il file che veniva scaricato è stato sostituito con un’altra versione, ancora più malevola, che faceva riferimento al sito fake gilimp.org.

Ma come è stato possibile che una cosa simile avvenisse?

Le analisi sono ancora in corso, un’ipotesi è quella delle lingue, in particolare lo sfruttamento di una tecnica chiamata IDN homograph. Questa tecnica permette al malfattore di creare un Google AD che sfrutta l’assonanza latina di parole cirilliche. Si associano così siti non ufficiali, in questo caso xn--gmp-jhd.org, alle loro controparti latine, quindi gimp.org.

Altra ipotesi è quella dell’utilizzo di differenti URL all’interno dell’annuncio, poiché Google prevede un display URL e un landing URL, ma sebbene queste due possano essere diverse esistono (ovviamente) delle regole di relazione da rispettare.

Probabile esiste un bug di Google AD sfruttabile magari utilizzando un approccio che usi un mix delle due ipotesi descritte.

Non cambia però la sostanza prima che il problema fosse risolto qualcuno (forse più di qualcuno) è stato certamente infettato.

Inutile aggiungere altro, più che altro vale la pena ricordare come il web sia tutto tranne che un posto sicuro, pertanto la regola è e rimane una sola: trust no one.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.