Niemand mag Werbung, aber wenn sie nur lästig ist, ist es eine Sache, und eine ganz andere — wenn sie wirklich gefährlich ist. Das ist bei einigen Google-Suchanzeigen der Fall: Sie verleiten Nutzer:innen, die nach beliebter Software suchen, zum Herunterladen von Malware.

Das funktioniert so: Cyberkriminelle bezahlen Google dafür, dass eine Anzeige in der Suche geschaltet wird, damit ihr Link in den Suchergebnissen ganz oben erscheint. Ein ahnungsloser Nutzer, der glaubt, dass Google einen Werbetreibenden überprüft hat, klickt auf die Anzeige und wird zuerst auf eine normalerweise harmlose Website weitergeleitet, die nichts mit der Software zu tun hat, und dann auf einen Klon der offiziellen Website des Unternehmens weitergeleitet. Von dort lädt der Nutzer ein trojanisches Pferd herunter, das er für ein legitimes Produkt hält. Diese Malware kann dann persönliche Daten stehlen, andere Malware, einschließlich Ransomware, installieren oder sogar die Kontrolle über den Computer übernehmen.

Für diese Angriffe braucht man kein Raketenwissenschaftler zu sein, und so sind sie in letzter Zeit immer beliebter geworden. Eines der jüngsten Beispiele ist eine Malware mit dem treffenden Namen Bumblebee. Laut den Forschern von SecureWorks wird der Malware-Loader, der früher hauptsächlich über Phishing-Links verbreitet wurde, jetzt über Google Ads und Suchmaschinenoptimierung (SEO) verbreitet. Beim SEO-Poisoning füllt ein Cyberkrimineller eine bösartige Website mit Schlüsselwörtern, gefälschten Backlinks und Inhalten, die dazu führen, dass die betrügerische Website in den Suchergebnissen höher rangiert als eine legitime Website. SEO-Poisoning und der Missbrauch von Google Ads ergänzen sich zwar, aber in diesem Artikel konzentrieren wir uns speziell auf Google Ads.

Vorsicht vor Bumblebee

In einem kürzlich erschienenen Blog-Post erklärte SecureWorks, dass Cyberkriminelle Google Ads mit Links versehen haben, die Nutzer:innen zum Herunterladen von ChatGPT, Zoom, Cisco AnyConnect oder Citrix Workspace führen. Wenn Nutzer den Links folgen, landen sie auf gefälschten Download-Seiten, wo sie von „trojanisierten“ Versionen der genannten Software begrüßt werden.

In einer Kampagne beobachtete SecureWorks, dass während der Installation einer betrügerischen Cisco-Software, die mit Bumblebee-Gift versetzt war, zwei Dateien ausgeführt wurden: ein legitimes Installationsprogramm für Cisco AnyConnect und ein bösartiges Programm namens PowerShell, das wiederum Bumblebee enthielt. Das PowerShell-Skript lud Bumblebee in den Arbeitsspeicher des Computers, ohne es auszuführen, was seine Erkennung durch Antiviren-Software erschwerte.

Laut SecureWorks war es das Ziel der Angreifer, Ransomware einzusetzen, eine Art von Malware, die Ihren Computer oder Ihre Dateien sperrt und die Zahlung eines Lösegelds verlangt, um den Zugriff wiederherzustellen.

Google Ads: ein Paradies für Malvertising?

Bumblebee ist nur ein Beispiel für Malware, die sich über Anzeigen wie ein Lauffeuer verbreiten kann, bevor The Big G sie in den Griff bekommt. Das Problem der Malvertising-Anzeigen bei Google Ads ist nicht neu. Tatsächlich werden Google-Anzeigen, einschließlich der gesponserten Links, die Sie in den Suchergebnissen sehen, schon seit Jahren mit „bösartigen“ Anzeigen überschwemmt. Da der Online-Werbemarkt boomt, kann Google einfach nicht mit den „schlechten“ Anzeigen mithalten, die durch seine Richtlinien fallen. Im Jahr 2013 hat Google nach eigenen Angaben über 350 Millionen „schlechte“ Anzeigen entfernt, Anzeigen von mehr als 400.000 Websites, die Malware verstecken, deaktiviert und 270.000 „schlechte“ Werbetreibender gesperrt.

Im Jahr 2022 waren die Zahlen noch viel höher: In seinem jüngsten Bericht zur Anzeigensicherheit gab Google an, dass es über 5,2 Milliarden „schlechte“ Anzeigen blockiert (einschließlich 142 Millionen Anzeigen, die gegen die Richtlinien für falsche Darstellungen verstoßen) und 6,7 Millionen Konten von Werbetreibenden gesperrt hat.

Trotz aller Bemühungen von Google gibt es keine Anzeichen dafür, dass sich die Situation ändert. Experten schlagen Alarm, dass die Situation mit Malware, die über Google Ads verbreitet wird, nicht besser wird, sondern eher schlimmer zu werden scheint.

Da diese Art von Malvertising-Angriffen auf dem Vormarsch ist, ist es schwer, eine beliebte App oder Software zu finden, die nicht als Lockmittel verwendet wird. Gerade in den letzten Monaten haben Kriminelle mit Anzeigen Nutzer:innen auf gefälschte Websites gelockt, die Produkte wie Slack, Grammarly, μTorrent, Malwarebytes und Microsoft Visual Studio anbieten. Eine weitere Herausforderung besteht darin, dass Sie zwar erwarten, dass Ihre Antiviren-Software Ihren Computer davon abhält, Malware hochzuladen, aber Cyberkriminelle sind inzwischen recht geschickt darin, die Erkennung durch Antivirenprogramme zu umgehen.

Wie Sie sich schützen können

Da die Verwendung von Antiviren-Software allein nicht ausreicht, um Sie vor diesen Angriffen zu schützen, müssen wir auch andere Methoden anwenden. Das FBI, das ebenfalls eine Zunahme von Malware-Angriffen über Suchanzeigen festgestellt hat, gab kürzlich einige Tipps, wie man vermeiden kann, ein Opfer zu werden. Das FBI schlägt vor, dass die Nutzer:innen vor dem Herunterladen von Dateien mehr Vorsicht üben, d. h. die URL überprüfen, bevor sie auf eine Anzeige klicken, oder — noch besser — Google auslassen und die URL der Website direkt in den Browser eingeben.

Dies sind zweifellos funktionierende Tipps, aber sie funktionieren möglicherweise nicht, wenn Sie in Eile sind oder nicht aufmerksam sind. Außerdem können Malvertiser Sie austricksen, indem sie die echte URL der Website mit einer Technik verbergen, die als Ad Cloaking bekannt ist.

Eine weitere Möglichkeit, sich zu schützen, ist nach Angaben des FBI die Verwendung eines Werbeblockers. Die Verwendung eines Werbeblockers, entweder einer Browsererweiterung wie AdGuard Browsererweiterung oder einer eigenständigen Anwendung, scheint der sicherste Weg zu sein, sich vor dieser Bedrohung zu schützen. Mit einem Werbeblocker müssen Sie die URL einer Anzeige nicht überprüfen, da Sie Ihren Werbeblocker so konfigurieren können, dass Suchanzeigen überhaupt nicht angezeigt werden. In der AdGuard-Erweiterung können Sie dies mit einem Klick tun, indem Sie die Option Suchanzeigen und Eigenwerbung von Websites blockieren aktivieren, die standardmäßig deaktiviert ist.

Screenshot: AdGuard Browsererweiterung

Und als zusätzlichen Bonus schützen einige Werbeblocker — darunter AdGuard — Sie vor dem Besuch bekannter bösartiger und Phishing-Websites.