Распространение вредоносных файлов через рекламу GIMP в Google

security IOC

Выявлена целенаправленная атака через рекламу Google, пытающейся заманить людей, ищущих GIMP, на вредоносную загрузку, которые показываются на первых местах результатов поиска и направлены на распространение вредоносного ПО, скрывающегося за продвижением бесплатного графического редактора GIMP.

Рекламная ссылка оформлена таким образом, что у пользователей не возникает сомнений, что переход будет осуществлен на официальный сайт проекта www.gimp.org, но на самом деле происходит переадресация на домены gilimp.org или gimp.monster, контролируемые злоумышленниками. Содержимое открывшихся сайтов повторяет оригинальный сайт gimp.org, но при попытке скачивания происходит перенаправление на сервисы Dropbox и Transfer.sh, через которые отправляется файл Setup.exe с вредоносным кодом

Indicators of Compromise

IPv4 Port Combinations

  • 13.107.4.52:80
  • 149.154.167.99:443
  • 192.124.249.24:80
  • 23.216.147.76:443
  • 91.213.50.70:80
  • 95.216.181.10:80

URLs

  • http://91.213.50.70/Htcnwiij.bmp
  • http://95.216.181.10/
  • http://95.216.181.10/041528764438.zip
  • http://95.216.181.10/1531

MD5

  • de8d8cd6b0869fb4f67672530e7403ad

SHA1

  • b6af9acc3ea5a386149d1689ca83043999bade0f

SHA256

  • acea176b67cb7c77dfd0780f7445791719c58a3ba1246e086be1065ea625af0d
SEC-1275-1
Добавить комментарий