Viele IT-Sicherheitsexperten, aber auch das Landeskriminalamt Niedersachsen, warnen aktuell vor Google Ads. Hinter Links zu Downloadseiten von bekannten Softwaretools stecken nachgebaute Seiten, die Ihr System mit Malware infizieren. Dabei handelt es sich u.a. um LibreOffice, gimp, VLC und OBS.
Schadsoftware statt Bildbearbeitungsprogramm durch Google Ads
Die Links sehen zunächst legitim aus, sie sind es aber nicht. Die Zentrale Ansprechstelle Cybercrime (ZAC) des LAK Niedersachsen zeichnet als Beispiel nach, wie das bei der freien Bildbearbeitungssoftware GIMP gemacht wird: Anstatt auf die echte Seite von GIMP (https://www.gimp.org) führt die Werbung auf eine URL, die vermeintlich genauso lautet. In Wirklichkeit wurden aber kyrillische Ziffern anstatt lateinischer Buchstaben verwendet.
Die falsche Seite von GIMP sieht dann auch täuschend echt aus. Per Downloadlink bekommt man auf dieser aber nicht das echte Bildbearbeitungsprogramm, sondern eine Datei mit ungewünschtem Inhalt:
Ziel ist es, Malware zu verbreiten, Zugangsdaten und sensible Informationen zu stehlen und im schlimmsten Fall komplette Systeme mit Ransomware zu verschlüsseln.
Die Konsequenzen eines solchen Dowloads laut ZAC
Einer der Tricks besteht laut ZAC auch darin, dass „dass die Webseite, die über Google Ads angezeigt wird, gutartig und irrelevant ist. Erst nachdem man die Anzeige anklickt, soll eine direkte Umleitung auf die bösartige Webseite erfolgen.“ Es ist nämlich so: „Wenn Google feststellt, dass die Fake-Webseite (Landing Page) bösartig ist, wird die Kampagne blockiert und die Anzeigen werden entfernt, sodass Bedrohungsakteure in diesem Schritt einen Trick anwenden müssen, um die automatischen Prüfungen von Google zu umgehen.“
Das Problem mit Google Ads weitet sich aktuell aus
Spamhaus spricht davon, dass „Malvertising“ über Google Ads ein bekanntes Problem ist, das aber laut den Bedrohungsforschern bisher nur „mäßig verbreitet“ war. In den letzten Tagen haben allerdings einen massiven Anstieg verzeichnen müssen. Es sollen zahlreiche bekannte Marken betroffen sein und mehrere verschiedene Schadprogramme missbräuchlich zum Einsatz kommen.
Roman Hussy, der Gründer von abuse.ch wird so zitiert: „Es ist wahrscheinlich, dass ein Bedrohungsakteur damit begonnen hat, Malvertising als Dienstleistung im Dark Web zu verkaufen, und die Nachfrage ist groß.“ Sie beobachten im Moment, dass „verschiedene Infrastrukturen in diesen Anzeigen verwendet werden, die verschiedene Malware-Familien verbreiten“. Hussy schließt daraus, dass „Ad Serving“ eine Dienstleistung ist, die von Bedrohungsakteure aktuell angefragt und gekauft werden.
Heise und Sentinel Labs sprechen von einer „hoch entwickelten Malvertising-Kampagne“ per Google Ads, die auch auf der Microsoft Plattform .NET läuft. Google ist sich der aktuellen Probleme mit seinem Werbesystem bewusst und arbeitet an der Behebung:
Böswillige Akteure setzen oft ausgeklügelte Maßnahmen ein, um ihre Identität zu verschleiern und sich unseren Richtlinien und der Durchsetzung zu entziehen. Um dies zu bekämpfen, haben wir in den letzten Jahren neue Zertifizierungsrichtlinien eingeführt, die Überprüfung von Werbetreibenden intensiviert und unsere Kapazitäten zur Erkennung und Verhinderung von koordiniertem Betrug erhöht. Wir sind uns des jüngsten Anstiegs der betrügerischen Anzeigenaktivitäten bewusst. Die Bekämpfung dieses Phänomens hat höchste Priorität, und wir arbeiten daran, diese Vorfälle so schnell wie möglich aufzuklären.
Google zu arstechnica
Quellen: ZAC Niedersachsen, Heise, Spamhaus, abuse.ch, Sentinel Labs, arstechnica
Lesen Sie auch unsere Faktenchecks:
Morbus Gaucher wird nicht durch Chitin verursacht
Nein, Pfizer züchtete nicht gezielt Corona-Mutationen
Nattokinase ist kein „Lebensretter für Spike-Impfgeschädigte“
Unsere virtuelle Faktencheck-Bewertungsskala: Bei der Überprüfung von Fakten, in der Kategorie der „Faktenchecks„, nutzen wir eine klare Bewertungsskala, um die Zuverlässigkeit der Informationen zu klassifizieren. Hier eine kurze Erläuterung unserer Kategorien:
- Rot (Falsch/Irreführend): Markiert Informationen, die definitiv falsch oder irreführend sind.
- Gelb (Vorsicht/Unbewiesen/Fehlender Kontext/Satire): Für Inhalte, deren Wahrheitsgehalt unklar ist, die mehr Kontext benötigen oder satirisch sind.
- Grün (Wahr): Zeigt an, dass Informationen sorgfältig geprüft und als wahr bestätigt wurden.
Unterstütze jetzt Mimikama – Für Wahrheit und Demokratie! Gründlicher Recherchen und das Bekämpfen von Falschinformationen sind heute wichtiger für unsere Demokratie als jemals zuvor. Unsere Inhalte sind frei zugänglich, weil jeder das Recht auf verlässliche Informationen hat. Unterstützen Sie Mimikama
Mehr von Mimikama
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)