Malvertising-Kampagne zielt auf Systemadministratoren
IT-Forscher haben eine Werbekampagne auf Google beobachtet, die Systemadministratoren Nitrogen-Malware unterjubeln will.
Die Suche liefert Spam, Malware und Betrügereien zurück.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Virenanalysten von Malwarebytes haben eine Malvertising-Kampagne auf Google entdeckt, deren Drahtzieher es offenbar auf Systemadministratoren abgesehen haben. Die Werbung lockt potenzielle Opfer auf gefälschte Webseiten, die anstatt der gesuchten Software eine Malware unterschieben.
(Bild: Malwarebytes)
In einem Blog-Beitrag schreiben Malwarebytes IT-Forscher, dass bei der Suche auf Google nach populären Systemwerkzeugen wie dem Terminal-Emulator mit umfangreicher Protokoll-Unterstützung PuTTY oder dem FTP-Programm Filezilla insbesondere in Nordamerika bösartige Werbung ausgespielt wird. Die Angreifer wollen Opfer dazu bringen, die Nitrogen-Malware herunterzuladen und auszuführen, die als die gesuchte Software getarnt wird.
Google sieht dem Treiben bislang zu
Die in Installer-Paketen gebündelte Nitrogen-Malware dient den Angreifern dazu, initialen Zugriff auf private Netzwerke zu erhalten. Daran schlössen sich Datendiebstahl und die Verteilung von Ransomware wie der von BlackCat/AlphV an. Die Virenanalytiker haben die bösartigen Werbungen an Google gemeldet, bislang sei jedoch nichts dagegen geschehen, führen sie in ihrem Beitrag aus.
Bei der Suche erscheinen über den Suchergebnissen Werbeeinblendungen. Der Text beschreibt etwa, dass es dort zu "PuTTY | Offical Website" gehe, also der offiziellen Webseite. Der Link darüber weist jedoch auf eine nicht dazu passende Domain.
(Bild: Malwarebytes)
Klicken Opfer darauf, werden sie auf dem Original ähnlich sehende Webseiten weitergeleitet. Sofern die konkrete Malware-Kampagne noch nicht fertig aufgebaut ist oder der bösartige Server unerwünschten Verkehr etwa von Bots, Crawlern oder bekannten IP-Adressen, die vermeintlich zu Virenlaboren gehören, erkennt, leitet er auf ein recht bekanntes Rick Astley-Video um – ein klassischer Rickroll (das unerwartete Abspielen des Stücks "Never gonna give you up").
Nach dem Herunterladen der angebotenen Datei findet sich ein Installer-Paket auf dem Laufwerk, das eine legitime und signierte ausführbare Datei enthält, die über sogenanntes "DLL Sideloading" eine DLL mit der Nitrogen-Malware ausführt. Konkret haben die Virenforscher eine Python-setup.exe vorgefunden, die die Malware aus der Datei python311.dll nachgeladen hat. Die Analyse enthält noch einige Indicators of Compromise (IOCs), also Indizien für einen Befall, nach denen Interessierte suchen können.
Auch Googles KI-Suche "Search Generative Experience" (SGE) ist vor bösartiger Werbung nicht gefeit. Da dort die Suchergebnisse in Erklärtexten eingebettet sind, anstatt lediglich als mehr oder minder "nackte Linksammlung" daherzukommen, verleiten sie potenzielle Opfer dort noch eher, die Malware-Angebote aufzusuchen.
(dmk)