Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Malvertising: Betrügerische Werbung auch bei Microsofts Bing

Malvertising, also Werbeanzeigen mit bösartigen Zielen, gibt es nicht nur bei Google, sondern auch bei Microsofts Bing-Suchmaschine.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Stilisiertes Bild: Suche liefert Spam und Malware

Die Suche liefert Spam, Malware und Betrügereien zurück.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

Die IT-Sicherheitsforscher von Malwarebytes haben auch auf Microsofts Suchmaschine Bing eine Malvertisement-Kampagne entdeckt. Betrügerische Werbung versucht dort, Opfer auf gefälschte Softwareanbieter-Seiten zu lenken, wo mit Schadsoftware gespickte Installationspakete lauern.

Auf Bing werben Cyberkriminelle für gefälschte NordVPN-Seiten, auf die sie Opfer lenken wollen.

(Bild: Malwarebytes)

In einem Blog-Beitrag analysieren Malwarebytes Virenforscher die Malware-Kampagne. Die Cyberkriminellen sähen ihrer Einschätzung zufolge Potenzial in Bing, da die Suchmaschine eng an Windows und den mitgelieferten Edge-Webbrowser geknüpft ist.

Bing: Suche nach VPN liefert betrügerische Werbung für gefälschte NordVPN-Seite

Bei der Suche nach "nord vpn" auf Bing ist den Virenanalysten eine bösartige Werbung aufgefallen, die NordVPN zu imitieren versucht, einem der prominentesten VPN-Anbieter etwa zur GeoIP-Verschleierung. Die Werbung verweist auf eine Webseite, die nordivpn[.]xyz laute und damit der echten Domain des Anbieters zumindest stark ähnelt. Die Domain wurde erst am Mittwoch dieser Woche angelegt, erläutern die Malwarebytes-Mitarbeiter.

Diese URL ist lediglich ein Redirector und leitet potenzielle Opfer zur Domain besthord-vpn[.]com weiter – die setzt auf die Ähnlichkeit von "h" und "n", die beim flüchtigen Hinsehen möglicherweise übersehen wird. Die Domain wurde erst am Donnerstag erstellt. Die Webseite sieht recht überzeugend aus und imitiert mit dem Original-Logo den NordVPN-Webauftritt. Opfer werden dort mit Download-Buttons zum Herunterladen der Software verleitet.

Installer mit Malware obendrauf

Ein Klick befördert eine Datei mit dem Namen NordVPNSetup.exe auf den Datenträger. Die Datei ist sogar digital signiert – jedoch ist die Signatur ungültig.

Die Signatur des Installers mit zusätzlicher Malware ist ungültig.

(Bild: Malwarebytes)

Die Datei enthält einen Installer für NordVPN und zusätzlich eine Malware. Damit perfektionieren die Täter die Illusion, dass die Opfer tatsächlich die gewünschte VPN-Software installieren. Die Malware injiziert sich in den Prozess MSBuild.exe und kontaktiert den Command-and-Control-Server der Drahtzieher. Es handelt sich laut Malwarebytes um den Remote-Access-Trojaner SecTopRAT.

Kürzlich hat der Anbieter AtlasVPN – inzwischen eine Tochter von NordVPN – die Einstellung des Betriebs angekündigt. Die bisherigen Nutzer und Nutzerinnen werden auf die Dienste von NordVPN migriert. Dies könnte das Suchvolumen zu dem Anbieter erhöhen und so zu mehr potenziellen Opfern führen.

Die größte Suchmaschine ist natürlich die von Google. Dort ist Malvertisement ebenfalls ein bekanntes Problem. Diese Betrugsmasche schlägt inzwischen sogar auf die KI-gestützte Suche des Unternehmens durch.

(dmk)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten