Quando cerchi Gimp e l’annuncio di Google ti fa scaricare un malware
Brutta storia quella successa a Gimp e raccontata da Bleeping Computer: cercando su Google la parola chiave “Gimp” il primo risultato ad apparire, quello sponsorizzato, pur essendo all’apparenza legittimo, in realtà dopo il click portava allo scaricamento di un eseguibile di 700 MB (!) contenente quello che a tutti gli effetti era un malware.
Per intenderci, ciò che si presentava agli utenti era essenzialmente questo:
Quindi un annuncio all’apparenza autentico che però portava a scaricare un bellissimo setup.exe
per la più classica delle auto infezioni possibili: l’installazione autonoma del software malevolo.
Un utente Reddit, ZachIngram04, ha pubblicato la URL dropbox a cui il link faceva riferimento, ma quel che è peggio è che poco dopo il file che veniva scaricato è stato sostituito con un’altra versione, ancora più malevola, che faceva riferimento al sito fake gilimp.org.
Ma come è stato possibile che una cosa simile avvenisse?
Le analisi sono ancora in corso, un’ipotesi è quella delle lingue, in particolare lo sfruttamento di una tecnica chiamata IDN homograph. Questa tecnica permette al malfattore di creare un Google AD che sfrutta l’assonanza latina di parole cirilliche. Si associano così siti non ufficiali, in questo caso xn--gmp-jhd.org, alle loro controparti latine, quindi gimp.org.
Altra ipotesi è quella dell’utilizzo di differenti URL all’interno dell’annuncio, poiché Google prevede un display URL e un landing URL, ma sebbene queste due possano essere diverse esistono (ovviamente) delle regole di relazione da rispettare.
Probabile esiste un bug di Google AD sfruttabile magari utilizzando un approccio che usi un mix delle due ipotesi descritte.
Non cambia però la sostanza prima che il problema fosse risolto qualcuno (forse più di qualcuno) è stato certamente infettato.
Inutile aggiungere altro, più che altro vale la pena ricordare come il web sia tutto tranne che un posto sicuro, pertanto la regola è e rimane una sola: trust no one.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.