Warnung vor ausgeklügelter Malvertising-Kampagne gezielt auf Systemadministratoren

Malwarebytes entdeckt gefährliche Werbung auf Google


Eine neu entdeckte Malvertising-Kampagne, aufgedeckt von den Virenanalysten bei Malwarebytes, zeigt, ebenso wie Angreifer gezielt Systemadministratoren mittels betrügerischer Werbung auf Google ins Visier nehmen. Diese Werbung führt ahnungslose Nutzer auf gefälschte Seiten die statt nützlicher Software gefährliche Malware unterjubeln. Hauptziel sind dabei wohl bekannte Systemwerkzeuge wie der Terminal-Emulator PuTTY oder das FTP-Programm Filezilla. Besonders in Nordamerika sind solche bösartigen Anzeigen verbreitet.



Nitrogen-Malware als getarnte Software


Die Drahtzieher hinter dieser Kampagne versuchen, ihre Opfer dazu zu bringen die sogenannte Nitrogen-Malware herunterzuladen. Diese kommt in unscheinbaren Installer-Paketen deshalb und gibt sich als legitime Software aus. Das Ziel der Angreifer: initialer Zugriff auf private Netzwerke, gefolgt von Datendiebstahl & Verteilung weiterer Schadsoftware wie beispielsweise Ransomware der Art BlackCat/AlphV.



Googles Passivität und gefälschte Links


Trotz Meldung der bösartigen Werbungen an Google durch die Analysten von Malwarebytes ist von Google noch keine Gegenaktion ergriffen worden. Die betrügerischen Werbeeinblendungen die betreffend den eigentlichen Suchergebnissen platziert werden, versehen mit irreführenden Beschreibungen und Links zu nicht zugehörigen Domains, bleiben dadurch bestehen. Opfer die diesen Links folgen landen auf Seiten die den Originalseiten täuschend ähneln.



Rickrolls und versteckte Malware-Downloads


In einigen Fällen kann es vorkommen. Dass Opfer statt auf die gefährliche Seite auf ein Rick Astley-Video umgeleitet werden – ein klassischer "Rickroll". Für die ahnungslosen Opfer ist die Gefahr jedoch weit von vorbei. Nach dem Download der präsentierten Dateien findet sich auf den Laufwerken der Nutzer ein Installer-Paket. Dieses enthält eine legitime, signierte Datei die aber durch "DLL Sideloading" eine infizierte DLL-Datei mit der Nitrogen-Malware ausführt.



Zeichen eines Befalls und Anfälligkeit von Googles KI-Suche


Der Bericht von Malwarebytes bietet ebenfalls eine Liste von Indikatoren für einen möglichen Befall (Indicators of Compromise, IOCs) die betroffene Nutzer zur Überprüfung nutzen können. Sogar Googles moderne KI-Suche die "Search Generative Experience" ist dieser Form der Malvertising-Kampagne nicht gewachsen. Aufgrund der eingebetteten Erklärtexte bei den Suchergebnissen ist das Risiko sogar noch größer, da Nutzer eher dazu verleitet werden können, versehentlich die bösartigen Angebote aufzusuchen.



Vorsicht ist besser als Nachsicht


In einer Zeit, in der Online-Sicherheit von größter Bedeutung ist, müssen Nutzer, insbesondere Systemadministratoren, äußerst wachsam gegenüber solch raffinierten Malvertising-Kampagnen sein. Trotz des beruhigenden Gefühls, das vertrauenswürdige Quellen wie Google normalerweise vermitteln ist Skepsis gegenüber jeglicher Online-Werbung angebracht. Weiterhin bleibt die Hoffnung • dass Google auf solche Bedrohungen schneller reagiert • um seine Nutzer besser zu schützen.






Kommentare


Anzeige