Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Malvertising-Kampagne zielt auf Systemadministratoren

IT-Forscher haben eine Werbekampagne auf Google beobachtet, die Systemadministratoren Nitrogen-Malware unterjubeln will.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen
Stilisiertes Bild: Suche liefert Spam und Malware

Die Suche liefert Spam, Malware und BetrĂĽgereien zurĂĽck.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

Die Virenanalysten von Malwarebytes haben eine Malvertising-Kampagne auf Google entdeckt, deren Drahtzieher es offenbar auf Systemadministratoren abgesehen haben. Die Werbung lockt potenzielle Opfer auf gefälschte Webseiten, die anstatt der gesuchten Software eine Malware unterschieben.

Die gefälschten Seiten wirken auf den ersten Blick überzeugend und sollen potenziellen Opfern mit Malware gespickte Installer andienen.

(Bild: Malwarebytes)

In einem Blog-Beitrag schreiben Malwarebytes IT-Forscher, dass bei der Suche auf Google nach populären Systemwerkzeugen wie dem Terminal-Emulator mit umfangreicher Protokoll-Unterstützung PuTTY oder dem FTP-Programm Filezilla insbesondere in Nordamerika bösartige Werbung ausgespielt wird. Die Angreifer wollen Opfer dazu bringen, die Nitrogen-Malware herunterzuladen und auszuführen, die als die gesuchte Software getarnt wird.

Google sieht dem Treiben bislang zu

Die in Installer-Paketen gebündelte Nitrogen-Malware dient den Angreifern dazu, initialen Zugriff auf private Netzwerke zu erhalten. Daran schlössen sich Datendiebstahl und die Verteilung von Ransomware wie der von BlackCat/AlphV an. Die Virenanalytiker haben die bösartigen Werbungen an Google gemeldet, bislang sei jedoch nichts dagegen geschehen, führen sie in ihrem Beitrag aus.

Bei der Suche erscheinen ĂĽber den Suchergebnissen Werbeeinblendungen. Der Text beschreibt etwa, dass es dort zu "PuTTY | Offical Website" gehe, also der offiziellen Webseite. Der Link darĂĽber weist jedoch auf eine nicht dazu passende Domain.

Werbung auf Google gibt vor, auf offizielle Seiten zu verweisen, leitet aber auf Malware-Seiten um.

(Bild: Malwarebytes)

Klicken Opfer darauf, werden sie auf dem Original ähnlich sehende Webseiten weitergeleitet. Sofern die konkrete Malware-Kampagne noch nicht fertig aufgebaut ist oder der bösartige Server unerwünschten Verkehr etwa von Bots, Crawlern oder bekannten IP-Adressen, die vermeintlich zu Virenlaboren gehören, erkennt, leitet er auf ein recht bekanntes Rick Astley-Video um – ein klassischer Rickroll (das unerwartete Abspielen des Stücks "Never gonna give you up").

Lesen Sie auch

Nach dem Herunterladen der angebotenen Datei findet sich ein Installer-Paket auf dem Laufwerk, das eine legitime und signierte ausführbare Datei enthält, die über sogenanntes "DLL Sideloading" eine DLL mit der Nitrogen-Malware ausführt. Konkret haben die Virenforscher eine Python-setup.exe vorgefunden, die die Malware aus der Datei python311.dll nachgeladen hat. Die Analyse enthält noch einige Indicators of Compromise (IOCs), also Indizien für einen Befall, nach denen Interessierte suchen können.

Auch Googles KI-Suche "Search Generative Experience" (SGE) ist vor bösartiger Werbung nicht gefeit. Da dort die Suchergebnisse in Erklärtexten eingebettet sind, anstatt lediglich als mehr oder minder "nackte Linksammlung" daherzukommen, verleiten sie potenzielle Opfer dort noch eher, die Malware-Angebote aufzusuchen.

(dmk)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten