Angreifer kopieren legitime Software-Websites, um Malware über die Google Ads-Plattform zu verbreiten

Es gab einen Anstieg der Anzahl von Bedrohungsakteuren, die die Google Ads-Plattform missbrauchen, um Malware an ahnungslose Benutzer zu verteilen, die diese beliebten Softwareprodukte herunterladen möchten.

Nun, die Bedrohungsakteure replizieren die offiziellen Websites dieser Softwareprodukte und verbreiten dann trojanerbeladene Versionen dieser Produkte, wenn der Benutzer auf die Schaltfläche “Herunterladen” klickt.

Dies sind die Softwareprodukte, die die Bedrohungsakteure ins Visier nehmen – Grammarly, Malwarebytes, μTorrents, AnyDesk, MSI Afterburner, Slack, Thunderbird, OB.S, Ring, Libre Office, Brave, Dashlane, Teamviewer und Audacity.

Nun, einige dieser bösartigen Software, die das Opfer auf seinen Computern hatte, umfassen die Varianten von Racoon Stealer, einer benutzerdefinierten Version des Vidar Steeler und des IceID-Malware-Loaders.

Vor einem Monat berichteten wir über die MSI Afterburner-Kampagne, die Benutzer mit der RedLine-Malware infizierte, und ein Bericht von Bleeping Computers erwähnt eine massive Typosquatting-Kampagne, bei der bis zu 200 Domains Softwareprodukte kopierten.

Es war nicht klar, wie die Opfer auf diese Websites gelangten, obwohl Berichte von mehreren Sicherheitsfirmen wie TrendMicro und Guardio Labs erklären, dass all dies geschah, als die Bedrohungsangreifer die breitere Benutzerbasis erreichten, indem sie ihre Websites durch Google-Werbekampagnen bewarben!

Die Google Ads-Plattform ist ein Dienst, der es Werbetreibenden ermöglicht, ihre Websites und Seiten zu bewerben, während sie sie an die Spitze der Suche platzieren und oft über den offiziellen Websites der Produkte.

Das bedeutet, dass die Benutzer, die keine Ad-Blocker verwenden oder diese deaktiviert haben, diese beworbene Website sofort sehen und darauf klicken, sie als tatsächliches Suchergebnis annehmen!

Die Bedrohungsakteure wenden dann Tricks an, um die automatisierten Überprüfungen von Google zu umgehen, und wenn Google herausfindet, dass die Zielseite bösartig ist, wird die Werbekampagne blockiert und die Anzeigen entfernt.

Nun, laut GaurdioLabs und TrendMicro. Der Trick, den die Bedrohungsangreifer verwenden, besteht darin, die Opfer dazu zu bringen, auf die Anzeige zu klicken und sie dann auf eine nicht verwandte, aber harmlose Website zu leiten, die übrigens auch vom Angreifer erstellt wurde, von dort aus sie auf die bösartige Website umgeleitet werden, die das Softwareprodukt impersoniert.

Sobald die gezielten Benutzer die duplizierte Website besuchen, leitet der Server sie sofort zur betrügerischen Website und von dort zum bösartigen Payload weiter, sagte GaurdioLabs.

Darüber hinaus sind diese betrügerischen Websites für den Besucher nicht einmal sichtbar, da sie nicht aus dem echten Werbefluss stammen, irrelevante Websites für die Crawler, gelegentliche Besucher, Bots und Google-Richtliniendurchsetzer.

Der Payload kommt in einer ZIP-Datei und wird von einer legitimen Website wie GitHub, Dropbox oder Discord CDN heruntergeladen, was sicherstellt, dass das auf dem Zielcomputer laufende Antivirenprogramm dem Download nicht widerspricht.

Laut der Sicherheitsfirma entdeckte die Kampagne, die sie im November entdeckten, in der die Bedrohungsangreifer die Benutzer zur trojanerbeladenen Version von Grammarly, die Racoon Stealer hatte, anlockten.

Die Malware kam mit der originalen Software, sodass die Benutzer die legitime Software sowie die Malware erhalten, die stillschweigend installiert wird.

Ein Bericht von TrendMicro erklärt die IceID-Kampagne, in der die Angreifer das Ketaro-Verkehrssystem ausnutzten, um zu erkennen, ob der Benutzer, der die Website besucht, wirklich ein Opfer oder ein Forscher ist, und dann erfolgt die Umleitung; dieser TDS-Exploit gibt es seit 2019.

Nun, damit gesagt, sind die beworbenen Suchergebnisse oft schwer als gefälscht zu identifizieren, da sie alle Elemente der Legitimität tragen, sodass eine Möglichkeit, diese Werbekampagnen zu blockieren, darin besteht, einen Ad-Blocker in Ihrem Browser zu aktivieren, der wiederum die beworbenen Suchergebnisse herausfiltert.

Eine andere Möglichkeit besteht darin, die Webseite nach unten zu scrollen, bis Sie die Domain des Softwareprodukts sehen, das Sie herunterladen möchten.

Lesen: RisePro Malware stiehlt Passwörter, Kreditkarteninformationen und Kryptowährungs-Wallets