Vorsicht bei der Google-Suche! Bösartige Werbung (Google Ads) in den Suchergebnissen, die Schadcode ausführt

Cyberkriminelle verwenden aktuell bösartige Werbung in Form von Google Ads in weiträumig angelegten Werbekampagnen, um Malware zu verbreiten. Die Malware wird dazu genutzt, um Passwörter zu stehlen und Unternehmens-Netzwerke für Ransomware-Angriffe zu durchbrechen. Damit sind die Google-Suchergebnisse zu einer Brutstätte bösartiger Werbung geworden.

Diese böswilligen Anzeigen geben vor, Websites für beliebte Softwareprogramme wie Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR und VLC zu sein.

Das Klicken auf diese Anzeigen führt Besucher zu Websites, die als Download-Portale oder Nachbildungen der legitimen Website der Software erscheinen. Wenn die Websitebesucher auf die Download-Links klicken, laden sie häufig eine MSI-Datei herunter, die je nach Kampagne verschiedene Malware installiert.

Ergebnis meiner heutigen Google-Suche: Ich habe heute (25.01.2023) in der Google-Suche den Namen des Softwareprogrammes “Rufus” eingegeben. Das erste Suchergebnis für “Rufus” war eine Google-Ads-Anzeige, die bei einem direkten Aufruf der angegebenen URL eine geklonte, gefälschte Website von einem großen britischen Reinigungsservice darstellte. Bei einem Klick auf den Google-Ads-Anzeigen-Titel wurde ich allerdings auf die gefälschte “Rufus”-Software-Seite weitergeleitet, die einen Downloadlink zu einer böswilligen, malwareinstallierenden Website enthält. Weitere Infos und Screenshots dazu findest du am Ende meines Beitrages.

Ein Malware-Downloader namens BatLoader

Eine weitere böswillige Google Ads-Kampagne bedient sich eines Malware-Downloaders namens BatLoader. Lädt ein ahnungsloser Nutzer nach einem Klick auf die Anzeige die böswillige, bei Google beworbene Software herunter, führt er unwissentlich den Malware-Downloader BatLoader aus.

BatLoader startet einen mehrstufigen Infektionsprozess, der den Angreifern einen Zugang zu den Netzwerken der Opfer verschafft.

Im Herbst 2022 berichtete Microsoft, dass die Bedrohungsakteure hinter BatLoader (DEV-0569) Google-Anzeigen verwenden, um für ihre bösartigen Websites zu werben. Schlimmer noch, Microsoft gab kurz darauf bekannt, dass diese Infektionen letztlich zum Einsatz von Royal Ransomware in angegriffenen Netzwerken führten.

Bereits im Februar 2022 entdeckten Sicherheitsforscher eine ähnlich gestaltete Malware-Kampagne, die SEO-Poisoning nutzte, um Websites, die vorgaben eine beliebte Software zu sein, in den Suchergebnissen einzuspeisen.

Was VERSTEHT MAN UNTER SEO-Poisoning?

Unter SEO-Poisoning versteht man die gezielte Desinformation über die Inhalte einer Website. Die Inhalte bestehen beispielsweise aus gängigen Suchbegriffen über topaktuelle Themen aus den Bereichen Unterhaltung, Wirtschaft, Technik, Politik und Kultur eingespeist.

Schädliche Google-Ads sind bis auf Weiteres eine Never-Ending-Story

In einer weiteren, aktuellen Google-Anzeigenkampagne verbreiten die Bedrohungsakteure Malware über Websites, die ebenfalls vorgeben beliebte Software wie AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe und seltsamerweise Websites für W-9 IRS-Formulare (US-spezifische Steuerformulare) zu sein.

Wird die Malware dieser speziellen Kampagne installiert, wird ein PowerShell-Skript ausgeführt, das eine böswillige DLL herunterlädt und ausführt.

Eine Liste der schadhaften Domains in dieser Kampagne ist auf dieser GitHub-Seite verfügbar.

Augen auf und aufgepasst! Schädliche Google-Ads in den Suchergebnissen entwickeln sich zu einem massiven Problem für Verbraucher und Unternehmen

Da diese bösartigen Kampagnen verwendet werden, um Zugriff auf Unternehmensnetzwerke zu erhalten, können sie zu Datendiebstahl, Ransomware und zerstörerischen Angriffen führen, die den Betrieb eines Unternehmens über einen ungewissen Zeitraum lahmlegen.

Deshalb solltet ihr wachsam sein, wenn ihr die Google-Suche nutzt oder bevor ihr auf eine Anzeige klickt! Unternehmen sollten ihre Mitarbeiterinnen und Mitarbeiter im Hinblick auf diese sehr ernst zunehmende Bedrohung entsprechend sensibilisieren und schulen.

Die gute Nachricht ist, dass Google schädliche Anzeigen entfernt, sobald sie erkannt oder gemeldet werden

Die schlechte Nachricht ist, dass die Bedrohungsakteure ständig neue Werbekampagnen und neue Websites starten. So wird daraus leider ein fortwährendes Katz- und Mausspiel, bei dem nicht der Eindruck entsteht, als ob Google es jemals gewinnen würde.

Google Suchergebnis nach der Eingabe des Suchbegriffes “Rufus” (Software) in das Google-Suchfeld am 25.01.2023, 12:02 Uhr. Die Anzeige wurde im Laufe des Tages von Google entfernt:

1

Nach der direkten Eingabe der in der Anzeige angegebenen URL “https://download.openoceans.click” in die Browseradresszeile, wird die nachfolgende Website angezeigt:

Diese angezeigte Website ist eine Kopie bzw. Fälschung einer Website eines überregionalen Reinigungsservices aus Großbritanien.

2

Klickst du allerdings in der Anzeige auf den sogenannten Anzeigen-Title “Rufus Download – Rufus – Official site”, landest du auf der gefakten, gefäschten Rufus-Software-Seite. Hinter dem Download-Link verbirgt sich böswillige Malware.


2 Antworten zu „Vorsicht bei der Google-Suche! Bösartige Werbung (Google Ads) in den Suchergebnissen, die Schadcode ausführt“

  1. Eddy

    Danke für diesen wichtigen Hinweis, Heike: mir war nicht bekannt, dass böswillige Menschen auch Geld für Google-Ads ausgeben, um ihre üblen Vorhaben umzusetzen.

    Umso wichtiger ist der Hinweis, dass man solche Ads melden kann, wenn man ihnen begegnet. Du hast das erwähnt. Ich möchte noch ergänzen:

    Zum Melden einer Google-Anzeige einfach auf das/den “Dreickeck/Pfeil nach unten” am ende der Anzeigenüberschrift klicken und im Popup dann “Anzeige melden” wählen.

    Beste Grüße,
    Eddy

    P.S. Ich werde deinen Artikel den Leserinnen und Lesern von trusted-blogs.com gerne weiterempfehlen. Danke, dass du dort deinen Content teilst: so bin auch ich darauf aufmerksam geworden. :-)

  2. Vielen Dank, Eddy :-) Ich freue mich sehr darüber, dass du meinen Artikel den Leserinnen und Lesern von trusted-blogs.com weiterempfiehlst. Deinen wichtigen Hinweis zum Melden von Anzeigen bei Google werde ich in meinen Beitrag mit aufnehmen!

    Teuflische Grüße
    Heike