GNU Image Manipulation Program, más conocido como GIMP, es un conocido programa para PC. Este software viene a ser una alternativa gratis a Photoshop para todos aquellos usuarios que busquen un programa sencillo y gratis para poder realizar edición y retoque fotográfica.
Hasta la semana pasada, cuando los usuarios buscaban este programa en Internet, el primer resultado que aparecía era un anuncio de AdWords. Este anuncio mostraba en el propio banner de Google una URL que, aparentemente, era auténtica. Pero, al hacer clic sobre ella, y analizar el dominio que nos cargaba en el PC, podemos ver que se trata en realidad de un dominio falso, ‘gilimp.org’, utilizado para distribuir malware.
¿Cómo es esto posible? En realidad, es muy sencillo. Cuando registran la URL de la página web, utilizan caracteres cirílicos para gіmp.org, los cuales en apariencia nos van a llegar a una página web, pero, en realidad, nos están llevando a otro dominio diferente. Esto es posible gracias a que Google permite usar URLs diferentes en los apartados de URL para mostrar y URL de destino, y lo usan algunos anunciantes para enviar a los usuarios a zonas concretas de las webs. Pero, en este caso, la finalidad es otra.
Recordamos que la web oficial de GIMP es www.gimp.org. Todas las demás son páginas falsas que, de una forma u otra, intentan engañarnos. Incluso el primer resultado que aparece al buscar desde Google España, que nos lleva a una web falsa y engañosa.
-Un conocido malware en el interior
La página web, en apariencia, es igual a la página original de GIMP. Incluso, al descargar, podemos ver que bajamos un archivo de unos 700 megas, igual que el editor de imágenes real. Sin embargo, este paquete es falso, y en realidad solo esconde un malware, de entre 5 y 10 MB, en su interior.
Una vez instalan el malware las víctimas se encuentran con que han instalado en el PC una variante de un conocido troyano usado para robar todo tipo de datos de las víctimas llamado «VIDAR». Este se conecta de forma remota a un servidor de control y queda a la espera de instrucciones. Entre otra, la información que busca en nuestro ordenador, y que la envía a los servidores de los piratas es:
- Todos los datos del navegador (historial, cookies, contraseñas, datos bancarios, etc).
- Monederos de criptomonedas.
- Archivos concretos del PC.
- Credenciales de Telegram.
- Credenciales de servicios de transferencia de archivos (WinSCPi, FTP, FileZilla).
- Datos de correo electrónico.
Si hemos caído en este engaño, es vital asegurar nuestro ordenador cuanto antes. Debemos analizarlo con un buen antivirus y un anti-malware para limpiar todo rastro de este VIDAR antes de que siga robando más información sobre nosotros. Además, también es necesario tomar las medidas de protección que consideremos adecuadas, como cambiar contraseñas o avisar al banco para cambiar los datos de la tarjeta de crédito y proteger nuestras cuentas.