Schadcode über Google Werbeanzeigen

28.04.2023 Daniela Schütte 0

Aktuell sind Angriffswellen zu beobachten, die über Google Werbeanzeigen (Google Ads) ausgespielt werden. Dabei werden Nutzer via Werbung auf gefälschte Download-Seiten gelockt, über die infizierte Installationsprogramme für vielgenutzte Business Software verteilt werden.

Die Installationsprogramme betreffen bekannte Software wie etwa Zoom, ChatGPT, Citrix Workspace oder CiscoAnyConnect. Die Kriminellen erstellen Download-Seiten, auf denen sie die infizierten Installationspakete für diese Software vorhalten. Diese bestehen meist aus dem regulären Installer für die jeweiligen Programme, enthalten aber zusätzlich Malware, die, einmal installiert, weitere Schadprogramme nachlädt.

Beworben werden die Installer durch bösartige Werbung (Malvertising), die in Google Ads eingeschleust wird. Außerdem werden Suchmaschinen durch so genanntes SEO-Poisoning so manipuliert, dass die gefälschten Download-Seiten in der Liste der Suchergebnisse weit oben angezeigt werden.

Damit birgt die Google-Suche nach Download-Möglichkeiten für bekannte Software ernstzunehmende Gefahren. Denn aus den Werbeanzeigen lässt sich kaum erkennen, dass die Links auf gefälschte Webseiten zeigen. Zumal die Domain-Namen meist recht nah an den originalen Programmnamen sind. Dass eine Domain wie z.B. appcisco.com gefährlich ist, kann man kaum vorhersehen.

Umso wichtiger ist im Business-Umfeld, dass Anwender keine Berechtigung zum Installieren von Software oder zum Starten von Skripten haben. Dass Installationspakete und Software-Updates nur aus geprüften und vertrauenswürdigen Quellen kommen dürfen, versteht sich – eigentlich – von selbst.

Doch auch und gerade im privaten Umfeld ist die Gefahr recht groß, sich auf diesem Weg schädliche Software einzuhandeln, wenn in den tückischen Download-Anzeigen gängige Produkte wie Adobe Reader, Gimp, Microsoft Teams oder Thunderbird beworben werden. Es ist und bleibt immens wichtig, sich die Quelle immer so genau wie möglich anzusehen, bevor man einen Ladevorgang startet.

Malvertising:
Malvertising ist aus Malware und Advertising zusammengesetzt und bezeichnet Cyber-Angriffe, bei denen Schadcode (Malware) über Online-Werbung (Online Advertising) verbreitet wird.

In der Regel werden legitime Werbenetzwerke, z.B. Google, verwendet, um bösartige Anzeigen zu schalten, die Benutzer auf infizierte Websites oder Download-Links weiterleiten. Die Anzeigen erscheinen ganz gängig z.B. als Pop-ups, Banner oder In-Text-Anzeigen und werden oft als attraktive Angebote oder unerwartete Warnungen präsentiert, um Benutzer dazu zu verleiten, darauf zu klicken.

Wenn ein Benutzer auf eine solche Anzeige klickt, kann er auf eine schädliche Website weitergeleitet werden, von der er Schadsoftware herunterlädt, ohne es zu merken.

SEO-Poisoning:
SEO-Poisoning ist eine Methode, mit der Cyberkriminelle die Positionierung von Websites in Suchmaschinen-Ergebnissen manipulieren (SEO: Search Engine Optimization / Suchmaschinenoptimierung). Sie erstellen gefälschte oder infizierte Webseiten, die auf bestimmte Suchbegriffe optimiert sind.

Es werden Keywords und Phrasen verwendet, die von den Suchmaschinen-Algorithmen als relevant eingestuft werden, um eine höhere Position in den Suchergebnissen zu erzielen. Wenn ein Nutzer dann auf eine dieser manipulierten Seiten klickt, wird er oft aufgefordert, Malware herunterzuladen oder persönliche Informationen preiszugeben, ohne den Betrug zu bemerken.

Bumblebee-Malware: Opfersuche mit Malvertising für trojanisierte Installer (heise.de)
Downloads via Google Ads: “Tsunami” an Malvertising verbreitet Schadsoftware (heise.de)

Bild:
Auf der Grundlage von
Wikimedia Commons. By Wefk423, Public domain.
Wikimedia Commons. By Daniel G., CC BY-SA 3.0.