Выявлена целенаправленная атака через рекламу Google, пытающейся заманить людей, ищущих GIMP, на вредоносную загрузку, которые показываются на первых местах результатов поиска и направлены на распространение вредоносного ПО, скрывающегося за продвижением бесплатного графического редактора GIMP.
Рекламная ссылка оформлена таким образом, что у пользователей не возникает сомнений, что переход будет осуществлен на официальный сайт проекта www.gimp.org, но на самом деле происходит переадресация на домены gilimp.org или gimp.monster, контролируемые злоумышленниками. Содержимое открывшихся сайтов повторяет оригинальный сайт gimp.org, но при попытке скачивания происходит перенаправление на сервисы Dropbox и Transfer.sh, через которые отправляется файл Setup.exe с вредоносным кодом
Indicators of Compromise
IPv4 Port Combinations
- 13.107.4.52:80
- 149.154.167.99:443
- 192.124.249.24:80
- 23.216.147.76:443
- 91.213.50.70:80
- 95.216.181.10:80
URLs
- http://91.213.50.70/Htcnwiij.bmp
- http://95.216.181.10/
- http://95.216.181.10/041528764438.zip
- http://95.216.181.10/1531
MD5
- de8d8cd6b0869fb4f67672530e7403ad
SHA1
- b6af9acc3ea5a386149d1689ca83043999bade0f
SHA256
- acea176b67cb7c77dfd0780f7445791719c58a3ba1246e086be1065ea625af0d