谷歌广告传播信息窃取恶意软件

关键要点

• 恶意广告针对GIMP.org伪装的钓鱼网站传播Vidar信息窃取恶意软件。
• 攻击者通过二进制填充技术使恶意文件显得更大，迷惑用户。
• ‘Setup.exe’文件负责下载执行恶意代码并窃取用户敏感信息。

据报道，网络威胁分子正通过一个恶意广告传播。该广告伪装成GNU图像处理程序（GIMP）的正当网站，并将用户重定向至一个钓鱼网站。直到上周，搜索“GIMP”时，用户会看到一个指向该钓鱼网站的谷歌广告，而该网站则向用户提供恶意可执行文件“Setup.exe”的下载。攻击者利用二进制填充技术，使得该恶意文件（小于5MB）看起来像是一个700 MB的大文件。

以下是有关这起事件的详细信息：

属性 | 描述
—|—
恶意软件类型 | Vidar 信息窃取恶意软件
钓鱼网站 | 伪装成 GIMP.org 的网站
恶意文件 | Setup.exe
文件大小 | 小于 5 MB （伪装成 700 MB）
关键文件 | Htcnwiij.bmp（从俄罗斯的 URL 获取）
二级有效载荷下载 | 来自命令和控制服务器

BleepingComputer发现，‘Setup.exe’文件从一个位于俄罗斯的 URL下载了名为‘Htcnwiij.bmp’的文件，该文件实际上是用于执行恶意软件的DLL。经过与其指挥和控制服务器的通信后，Setup文件还会下载第二阶段的有效载荷。Vidar随后会窃取Windows系统中的浏览器数据、加密货币钱包信息、邮件应用数据、文件传输工具的细节以及Telegram凭据等敏感信息。