Maliziöse Google Ads verbreiten schadhafte Software
31.01.2023
Zur Zeit häufen sich die Berichte über Google Ads, die vorgeben eine legitime und nützliche Software als Download bereitzustellen (u.a. LibreOffice, gimp, OBS), aber tatsächlich eine schadhafte Datei enthalten, die nach dem Herunterladen und anschließender Ausführung Ihren Rechner mit Malware infiziert.
Was sind eigentlich Google Ads?
Die beworbene Google Ad wird in der Regel innerhalb der Google-Suche ganz oben angezeigt.
Wie funktioniert das nun im Detail?
Sie sind auf der Suche nach einer bestimmten Software und benutzen hierzu die Google-Suchmaschine. Nehmen wir hier das Beispiel „gimp“. Nun kann es passieren, dass der erste Treffer eine Google Ad ist. Hier wird nun der oben beschriebene Dienst von kriminellen Akteuren missbraucht, indem legitime Webseiten täuschend echt kopiert werden und per Umleitung über eine meist ähnliche URL eine schadhafte Datei als Download bereitstellen.
Ziel ist es, Malware zu verbreiten, Zugangsdaten und sensible Informationen zu stehlen und im schlimmsten Fall komplette Systeme mit Ransomware zu verschlüsseln.
Hier wurde beispielsweise in einer Google Ad die Adresse https://www.gimp.org mit kyrillischen Ziffern täuschend echt dargestellt:
Nachdem die Google Ad angeklickt wird, erfolgt eine Weiterleitung zu der Fake-Webseite, die die schadhafte Software zur Verfügung stellt. In diesem Beispiel ist es http://www.gilimp.org:
In den meisten Fällen werden die legitimen Webseiten mit ähnlichen Namen dargestellt, d.h. es werden z. B. Ziffern vertauscht. Durch die Verwendung von Begriffen wie „official“ wird darüber hinaus ein authentischer Eindruck erzeugt. Softwareprojekte wie z. B. Anydesk, Notepad ++, OBS, VLC, Teamviewer, Rufus, gimp und LibreOffice sind nur wenige Beispiele, die für die aktuellen Malware-Kampagnen missbraucht werden.
Beispiel "Teamviewer":
Es sollen u. a. die Malware-Varianten „Aurora Stealer“, „IcedID“, „Raccoon Stealer“, "RedLine" und „Vidar Stealer“ über diese Methode verbreitet werden.
Einen bösartigen Befall mit einer solchen Malware könne im schlimmsten Fall zur Ausführung einer Ransomware führen:
Quelle:https://twitter.com/1ZRR4H/status/1616682530832252930
Google? Wieso werden diese Ads zuglassen und wie gelangt die Malware auf das System?
Laut Guardio und Trend Micro besteht der Trick darin, dass die Webseite, die über Google Ad angezeigt wird gutartig und irrelevant ist. Erst nachdem man die Anzeige anklickt, soll eine direkte Umleitung auf die bösartige Webseite erfolgen.
Der Download bzw. die schadhafte Datei soll vor allem im ZIP- oder MSI-Format (Microsoft Installer) verfügbar sein. Zudem sollen die schadhaften Dateien von seriösen File-Sharing – und Code-Hosting-Diensten wie GitHub, Dropbox oder dem CDN von Discord heruntergeladen werden. Somit könne eine Erkennung durch Antivirenprogramme erschwert werden.
Ablauf: Siehe nachfolgenden Link.
Quelle:https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e
Analysen zu „Aurora-Stealer“, „IcedID“, „Raccoon-Stealer“, „RedLine“ und „Vidar-Stealer“ können in der Malpedia von Fraunhofer gefunden werden:
https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid
https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon
https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar
Detaillierter Ablauf Fake-LibreOffice:
https://www.malware-traffic-analysis.net/2023/01/18/index.html
Fachberichte:
https://www.bleepingcomputer.com/news/security/hackers-push-malware-via-google-search-ads-for-vlc-7-zip-ccleaner/
https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e
Quellen:
[1] Bleepingcomputer, "Hacker abuse Google Ads", 2022. [Online]. Verfügbar: https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-to-spread-malware-in-legit-software/.
[2] Bleepingcomputer, "Ransomware access brokers use Google Ads", 2023. [Online]. Verfügbar: https://www.bleepingcomputer.com/news/security/ransomware-access-brokers-use-google-ads-to-breach-your-network/.
[3] Google, Was sind Google Ads", 2023. [Online]. Verfügbar: https://ads.google.com/intl/de_de/getstarted/.
[4] Malware Traffic Analysis, "Abaluf Fake-LibreOffice", 2023. [Online]. Verfügbar: https://www.malware-traffic-analysis.net/2023/01/18/index.html.
[5] Guardio LabsGuard, "MasquerAds", 2022. [Online]. Verfügbar: https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e.
[6] Trendmicro "IcedID botnet loader", 2022. [Online]. Verfügbar: https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html.
Zur Zeit häufen sich die Berichte über Google Ads, die vorgeben eine legitime und nützliche Software als Download bereitzustellen (u.a. LibreOffice, gimp, OBS), aber tatsächlich eine schadhafte Datei enthalten, die nach dem Herunterladen und anschließender Ausführung Ihren Rechner mit Malware infiziert.
Was sind eigentlich Google Ads?
„…mit dem Dienst können Unternehmen und Werbetreibende Milliarden von Nutzern ansprechen, während diese z. B. Anfragen in der Google-Suche durchführen, Videos auf YouTube ansehen, neue Orte mit Google Maps erkunden, Apps auf Google Play entdecken oder Inhalte im Web durchforsten.“
Die beworbene Google Ad wird in der Regel innerhalb der Google-Suche ganz oben angezeigt.
Wie funktioniert das nun im Detail?
Sie sind auf der Suche nach einer bestimmten Software und benutzen hierzu die Google-Suchmaschine. Nehmen wir hier das Beispiel „gimp“. Nun kann es passieren, dass der erste Treffer eine Google Ad ist. Hier wird nun der oben beschriebene Dienst von kriminellen Akteuren missbraucht, indem legitime Webseiten täuschend echt kopiert werden und per Umleitung über eine meist ähnliche URL eine schadhafte Datei als Download bereitstellen.
Ziel ist es, Malware zu verbreiten, Zugangsdaten und sensible Informationen zu stehlen und im schlimmsten Fall komplette Systeme mit Ransomware zu verschlüsseln.
Hier wurde beispielsweise in einer Google Ad die Adresse https://www.gimp.org mit kyrillischen Ziffern täuschend echt dargestellt:
Nachdem die Google Ad angeklickt wird, erfolgt eine Weiterleitung zu der Fake-Webseite, die die schadhafte Software zur Verfügung stellt. In diesem Beispiel ist es http://www.gilimp.org:
In den meisten Fällen werden die legitimen Webseiten mit ähnlichen Namen dargestellt, d.h. es werden z. B. Ziffern vertauscht. Durch die Verwendung von Begriffen wie „official“ wird darüber hinaus ein authentischer Eindruck erzeugt. Softwareprojekte wie z. B. Anydesk, Notepad ++, OBS, VLC, Teamviewer, Rufus, gimp und LibreOffice sind nur wenige Beispiele, die für die aktuellen Malware-Kampagnen missbraucht werden.
Beispiel "Teamviewer":
Es sollen u. a. die Malware-Varianten „Aurora Stealer“, „IcedID“, „Raccoon Stealer“, "RedLine" und „Vidar Stealer“ über diese Methode verbreitet werden.
Einen bösartigen Befall mit einer solchen Malware könne im schlimmsten Fall zur Ausführung einer Ransomware führen:
Quelle:https://twitter.com/1ZRR4H/status/1616682530832252930
Google? Wieso werden diese Ads zuglassen und wie gelangt die Malware auf das System?
„Wenn Google feststellt, dass die Fake-Webseite (Landing Page) bösartig ist, wird die Kampagne blockiert und die Anzeigen werden entfernt, so dass Bedrohungsakteure in diesem Schritt einen Trick anwenden müssen, um die automatischen Prüfungen von Google zu umgehen.“
Laut Guardio und Trend Micro besteht der Trick darin, dass die Webseite, die über Google Ad angezeigt wird gutartig und irrelevant ist. Erst nachdem man die Anzeige anklickt, soll eine direkte Umleitung auf die bösartige Webseite erfolgen.
Der Download bzw. die schadhafte Datei soll vor allem im ZIP- oder MSI-Format (Microsoft Installer) verfügbar sein. Zudem sollen die schadhaften Dateien von seriösen File-Sharing – und Code-Hosting-Diensten wie GitHub, Dropbox oder dem CDN von Discord heruntergeladen werden. Somit könne eine Erkennung durch Antivirenprogramme erschwert werden.
Ablauf: Siehe nachfolgenden Link.
Quelle:https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e
Wie können Sie sich schützen?
- Aktivieren Sie innerhalb Ihres Browsers einen Ad-Blocker
- Angezeigte Ads sollten Sie ignorieren und etwas nach unten scrollen, um die offizielle Webseite zu sehen. Sollten Sie Zweifel haben, können Sie den Wikipedia-Eintrag zur gesuchten Software aufrufen
- Wird die Webseite der gewünschten Software häufiger besucht, können Sie diese als Lesezeichen markieren und können somit die offizielle Webseite immer direkt aufrufen. So kann eine Google-Suche vermieden werden
- Nutzen Sie zur Installation von Software den Microsoft Store
- Sollten Sie eine maliziöse Datei ausgeführt haben, benachrichtigen Sie bestenfalls unverzüglich Ihre IT-Abteilung und/oder zuständige Stelle/Person
Analysen zu „Aurora-Stealer“, „IcedID“, „Raccoon-Stealer“, „RedLine“ und „Vidar-Stealer“ können in der Malpedia von Fraunhofer gefunden werden:
https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid
https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon
https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar
Detaillierter Ablauf Fake-LibreOffice:
https://www.malware-traffic-analysis.net/2023/01/18/index.html
Fachberichte:
https://www.bleepingcomputer.com/news/security/hackers-push-malware-via-google-search-ads-for-vlc-7-zip-ccleaner/
https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e
Quellen:
[1] Bleepingcomputer, "Hacker abuse Google Ads", 2022. [Online]. Verfügbar: https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-to-spread-malware-in-legit-software/.
[2] Bleepingcomputer, "Ransomware access brokers use Google Ads", 2023. [Online]. Verfügbar: https://www.bleepingcomputer.com/news/security/ransomware-access-brokers-use-google-ads-to-breach-your-network/.
[3] Google, Was sind Google Ads", 2023. [Online]. Verfügbar: https://ads.google.com/intl/de_de/getstarted/.
[4] Malware Traffic Analysis, "Abaluf Fake-LibreOffice", 2023. [Online]. Verfügbar: https://www.malware-traffic-analysis.net/2023/01/18/index.html.
[5] Guardio LabsGuard, "MasquerAds", 2022. [Online]. Verfügbar: https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e.
[6] Trendmicro "IcedID botnet loader", 2022. [Online]. Verfügbar: https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html.
Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/70
Klicken Sie hier und abonnieren Sie unseren Newsletter.
