Google Ads: Malvertising-Attacke stiehlt Zugangsdaten und mehr
Personen und Unternehmen, die Google Ads nutzen, sollten derzeit besonders vorsichtig sein: Eine neue Malvertising-Kampagne nimmt genau sie ins Visier. Gefälschte Anzeigen auf der Plattform dienen Angreifern als Falle, um gezielt Zugangsdaten und Zwei-Faktor-Authentifizierungscodes zu stehlen.
„Die Masche besteht darin, sich als Google Ads auszugeben, um möglichst viele Werbekonten zu stehlen“, erklärt Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes. Dabei werden Opfer auf gefälschte Anmeldeseiten umgeleitet, wo ihre Zugangsdaten abgefangen werden.
Es wird vermutet, dass das Ziel der Kampagne darin besteht, die gestohlenen Zugangsdaten weiterzuverwenden, um die Angriffe fortzusetzen, und diese gleichzeitig an andere Kriminelle in Untergrundforen zu verkaufen. Laut Berichten auf Plattformen wie Reddit, Bluesky und den Google-Support-Foren ist die Kampagne seit mindestens Mitte November 2024 aktiv.
Techniken und Vorgehensweise der Angreifer
Die Vorgehensweise erinnert stark an frühere Angriffe mit Stealer-Malware, bei denen Facebook-Werbekonten gehackt wurden, um diese für weitere Malvertising-Kampagnen zu missbrauchen. Im aktuellen Fall werden gezielt Nutzer angesprochen, die über Google nach „Google Ads“ suchen. Sie stoßen dabei auf gefälschte Anzeigen, die sie auf betrügerische Webseiten weiterleiten. Diese Landing-Pages, die oft auf Google Sites gehostet werden, leiten die Opfer anschließend auf externe Phishing-Seiten um.
Auf diesen Seiten werden Anmeldedaten und Zwei-Faktor-Authentifizierungscodes (2FA) in Echtzeit abgefangen und über WebSocket-Technologie an Server der Angreifer übermittelt. Laut Segura stammen die gefälschten Anzeigen für Google Ads von verschiedenen Personen und Unternehmen – darunter sogar ein regionaler Flughafen – an unterschiedlichen Standorten. „Einige dieser Konten hatten bereits Hunderte anderer legitimer Anzeigen geschaltet.“
Ein zentraler Trick der Kampagne besteht in der Ausnutzung einer Besonderheit von Google Ads: Die angezeigte URL in einer Anzeige muss nicht exakt mit der Ziel-URL übereinstimmen, solange beide die gleiche Domain nutzen. So können die Angreifer Landing-Pages auf sites.google[.]com hosten, während die Anzeige-URL als ads.google[.]com erscheint.
Zusätzlich setzen die Angreifer auf fortschrittliche Techniken wie Fingerprinting, Anti-Bot-Erkennung, CAPTCHA-ähnliche Mechanismen, Cloaking und Verschlüsselung, um ihre Phishing-Infrastruktur zu verschleiern.
Laut Malwarebytes nutzen die Kriminellen die erbeuteten Anmeldedaten, um sich in die Google Ads-Konten ihrer Opfer einzuloggen. Anschließend fügen sie neue Administratoren hinzu und verwenden das Budget der Konten, um gefälschte Anzeigen zu schalten. So verbreiten sie ihre Kampagne weiter und fügen neue gehackte Konten ihrem Netzwerk hinzu.
„Es scheint, dass hinter diesen Angriffen mehrere Personen oder Gruppen stehen“, so Segura. „Die meisten von ihnen sprechen Portugiesisch und operieren vermutlich aus Brasilien. Ihre Phishing-Infrastruktur nutzt häufig Domains mit der portugiesischen Top-Level-Domain .pt.“
Reaktion von Google und Sicherheitsmaßnahmen
„Diese betrügerischen Anzeigen verstoßen nicht gegen die aktuellen Regeln von Google Ads. Dadurch können Angreifer gefälschte URLs verwenden, die wie legitime Websites aussehen. Bisher hat Google keine klaren Schritte unternommen, um solche Konten zu sperren, bis ihre Sicherheit wiederhergestellt ist.“
Ein Google-Sprecher erklärte: „Wir verbieten ausdrücklich Anzeigen, die darauf abzielen, Menschen zu täuschen, um ihre Informationen zu stehlen oder sie zu betrügen. Unsere Teams untersuchen dieses Problem aktiv und arbeiten daran, es schnell zu beheben.“
Google sagte außerdem, dass man über die bösartigen Anzeigenkampagnen informiert sei und kontinuierlich daran arbeite, das Anzeigennetzwerk auf Missbrauch zu überwachen. Maßnahmen würden ergriffen, um gegen Werbetreibende vorzugehen, die mit irreführenden Anzeigen Nutzer täuschen, indem sie Informationen über ihr Unternehmen, ihre Produkte oder Dienstleistungen verschleiern oder falsch darstellen.
Im Jahr 2023 entfernte Google nach eigenen Angaben über 3,4 Milliarden Anzeigen, schränkte mehr als 5,7 Milliarden Anzeigen ein und sperrte 5,6 Millionen Werbekonten. Allein 206,5 Millionen Anzeigen wurden aufgrund von Verstößen gegen die Richtlinie zur Falschdarstellung blockiert.
Angriffsmuster nicht unbekannt
Die Enthüllung fällt mit einem Bericht von Trend Micro zusammen, der zeigt, dass Angreifer Plattformen wie YouTube und SoundCloud nutzen, um Links zu gefälschten Installationsprogrammen beliebter Software zu verbreiten. Diese führen letztlich zur Installation verschiedener Malware-Arten wie Amadey, Lumma Stealer, Mars Stealer und Vidar Stealer.
„Angreifer verwenden oft seriöse Filehosting-Dienste wie Mediafire und Mega.nz, um die Herkunft ihrer Malware zu verschleiern und die Erkennung zu erschweren“, so das Unternehmen. „Passwortgeschützte und verschlüsselte bösartige Downloads machen die Analyse in Sicherheitsumgebungen schwierig und ermöglichen es der Malware, einer frühen Erkennung zu entgehen.“