Ein treffendes Wort: Eine Malvertising-Kampagne schaltet Anzeigen in der Google-Suche und gibt vor, ein weit verbreitetes legitimes und nicht bösartiges Systeminformationstool CPU-Z zu sein. Diese betrügerische Kampagne hat Anzeigen über die Google-Suche geschaltet und Nutzer dazu verleitet, ihre Version von CPU-Z herunterzuladen, die die Malware Redline enthält, die Informationen stiehlt.
Während einige Benutzer möglicherweise über einen Browserschutz und Antivirenanwendungen verfügen, die dies normalerweise erkennen würden, wurde das Installationsprogramm zwar digital signiert, enthält jedoch ein bösartiges PowerShell-Skript, wodurch die Erkennung umgangen werden kann.
Eine solche Website wurde erstellt, und diese Kampagne lief vom 2. November bis zu dem Zeitpunkt, als der Eigentümer die Website abschaltete. Nach den WHOIS-Informationen zu diesem Zeitpunkt stammt der Domänenname von Namecheap, und PQ Hosting hostet den Server der Website. Es sollte auch beachtet werden, dass die Whois-Details zum Zeitpunkt der Erstellung dieses Artikels vor einem Tag aktualisiert wurden, so dass es wahrscheinlich ist, dass der Eigentümer der Website den Website-Hosting-Server gewechselt und die Website deaktiviert hat.
Angriffe, die das Vertrauen und die Vertrautheit von CPU-Z unter den Nutzern ausnutzen, sind nicht neu; sie lassen sich bis ins Jahr 2021 zurückverfolgen. Einige behaupteten sogar, CPU-Z-Installationsprogramme anzubieten, nur um sich selbst als Downloader herunterzuladen und zu installieren.
Die Besten von uns können darauf hereinfallen, da Google Anzeigen nicht durch unterschiedliche Schriftfarben oder sichtbare Grenzen hervorhebt, die sie von den organischen Suchergebnissen trennen. Während Werbebanner offensichtlich sind, können wortbasierte Anzeigen mit Links leicht ausgenutzt werden. Der Rest hängt von der Gestaltung der Website ab (bei einem der gemeldeten Domainnamen scheint der URL-Name bei einigen Nutzern, die darauf hereinfallen, keine Rolle zu spielen). Durch die gezielte Auswahl von Schlüsselwörtern und Geostandorten können Personen, die solche bösartigen Kampagnen durchführen, eine Vielzahl von Nutzern infizieren, bevor sie wegen Website-Verletzungen gemeldet werden.
Diese Malwaretisement-Kampagne ähnelt der Kampagne für Notepad++, die bis ins Jahr 2021 zurückverfolgt werden kann. Einige Notepad++-Nutzer luden die App unwissentlich von einer Anzeige herunter, die über den Suchergebnissen platziert wurde, und nutzten das System mit der gleichen Methode aus.
Der Quelle zufolge handelt es sich bei RedLine Stealer um eine Malware, die im März 2020 entdeckt wurde. Bereits am 1. Juli 2021 wurde entdeckt, dass sie sich als Datenschutz-Tool tarnt.
Google hat zwar Richtlinien gegen solche Websites, aber selbst wenn Google die Website und die herunterladbaren Inhalte auf bösartige Software überprüft, ist es nicht schwer, die herunterladbaren Inhalte zu ändern, nachdem die Anzeige genehmigt wurde. Dies ist eine Herausforderung, die die Werbenetzwerke und Hosting-Unternehmen lösen müssen.
Eine billige Website zu erstellen ist mühelos, und die Angabe von gefälschten Registrierungsdaten und Informationen an eine Webregistrierungsstelle und ein Hosting-Unternehmen ist nicht schwer. Mit der Akzeptanz von Kryptowährungen durch bestimmte Hosting-Unternehmen ist es einfach, die Notwendigkeit zu umgehen, echte Informationen per Kreditkarte zu übermitteln, oder die Möglichkeit zu haben, einen Benutzer auf der Grundlage seiner Kreditkartendaten auf eine schwarze Liste zu setzen.
Da dies ein profitables Unterfangen sein kann, ist es nicht überraschend, dass ähnliche Kampagnen gegen bekannte Anwendungen wie Notepad++ und CPU-Z eingesetzt werden. Bis Google weitere Schutzmaßnahmen einführt oder zumindest wortbasierte Anzeigen in den Google-Suchergebnissen deutlich hervorhebt, müssen die Nutzer auf den Hinweis „gesponserte Anzeige“ über dem Link achten und den Namen der Website in der Anzeige und im Suchergebnis beachten.
Wie üblich sollte man auch Warnungen von Sicherheits-Apps nicht abtun und davon ausgehen, dass es sich um ein falsches Positiv handeln könnte. Der einzige Weg, um weiterzukommen, besteht darin, den Blick für die schlechten Werbegeschenke zu schärfen.
