Downloads via Google Ads: "Tsunami" an Malvertising verbreitet Schadsoftware
Immer mehr Angreifer versuchen, Geräte von Nutzern mit Malware zu infizieren. Forscher beobachten einen massiven Anstieg auf Google bei der Suche nach Software.
(Bild: PixieMe/Shutterstock.com)
Die Suche auf Google nach Download-Möglichkeiten für beliebte Software werde immer gefährlicher, warnen IT-Sicherheitsexperten. Sie beobachten auf der Suchmaschine immer mehr Malvertising-Kampagnen über das hauseigene Werbesystem Google Ads, mit denen Angreifer versuchen, Rechner von Endnutzern mit Schadsoftware zu infizieren. In den vergangenen Tagen sei ein "massiver Anstieg" zu beobachten gewesen, schreibt mit Spamhaus ein führender Anbieter schwarzer Listen zum Schutz vor Spam, Viren und Trojanern. Dabei kämen mehrere Schadprogramme zum Einsatz.
Malvertising als 'Dienstleistung'
Sicherheitsforscher seien daran gewöhnt, dass über Google Ads "eine mäßige Menge Malvertising" erfolge, heißt es bei Spamhaus. Aktuell komme es aber zu einem "Tsunami" an Missbrauch bei dem Werbeschema, was nicht "die Norm" sei. Eine Vielzahl von Malware wie AuroraStealer, IcedID, Meta Stealer, RedLine Stealer und Vidar werde über bösartige Akteure auf die Rechner der Opfer übertragen, die sich hinter Download-Anzeigen für Marken wie Adobe Reader, Gimp, Microsoft Teams, OBS, Slack und Thunderbird versteckten. Bisher setzten die Cyberkriminellen in der Regel auf Phishing und bösartige Spam-Mails, die Word-Dokumente mit gefälschten Makros als Anhänge enthielten. Malvertising lief zudem etwa über Hacks spezieller Adserver.
Experten aus dem Umfeld des Spamhaus-Projekts vermuten, dass zumindest eine Cybercrime-Gruppe damit begonnen hat, "Malvertising als Dienstleistung im Dark Web zu verkaufen". Die Nachfrage nach solchen einfach klickbaren Betrugsservices sei offenbar groß. Die Forscher beobachteten sogar gleichzeitig zwei einschlägige Anzeigen, die für den gleichen Suchbegriff erschienen, aber unterschiedliche Malware-Familien verbreiteten. Sie monieren, dass Google Anzeigen zulasse, die auf frisch registrierte Domains verlinken. In der gesamten Sicherheitsbranche werde deren unmittelbare Nutzung "mit hochriskanten Aktivitäten" in Verbindung gebracht.
Hochentwickelte Kampagnen über Google Ads
Die IT-Sicherheitsfirma Sentinel One verwies parallel auf eine hochentwickelte Malvertising-Kampagne über Google Ads, die mehrere auf der Microsoft-Plattform .NET implementierte bösartige Loader verbreitet. Sie tauften diese auf den Namen MalVirt. Derzeit verberge sich dahinter am häufigsten die Malware XLoader, die seit 2021 für Windows und macOS verfügbar ist. Es handelt sich dabei um einen Nachfolger von Formbook. Damit ist es möglich, Daten von Kontakten, Login-Kennungen und andere sensible Informationen von verseuchten Geräten zu stehlen. MalVirt-Loader setzen auf Virtualisierung, um gängige Schutzverfahren zu umgehen.
"Böswillige Akteure setzen oft ausgeklügelte Maßnahmen ein, um ihre Identität zu verschleiern und sich unseren Richtlinien und der Durchsetzung zu entziehen", erklärte Google gegenüber dem Online-Magazin "Ars Technica": "Um dies zu bekämpfen, haben wir in den letzten Jahren neue Zertifizierungsrichtlinien eingeführt, die Überprüfung von Werbetreibenden intensiviert und unsere Kapazitäten zur Erkennung und Verhinderung von koordiniertem Betrug erhöht. Wir sind uns des jüngsten Anstiegs der betrügerischen Anzeigenaktivitäten bewusst." Der US-Konzern treibe Gegenmaßnahmen mit "höchster Priorität" voran. Zudem arbeite man daran, "diese Vorfälle so schnell wie möglich aufzuklären".
(tiw)
