Malware statt KI: SEO-Manipulation infiziert Unternehmen mit gefälschten Tools
Mit gefälschten KI- und Business-Tools wie ChatGPT, Zoom oder Microsoft Office locken Cyberkriminelle Nutzer über manipulierte Suchergebnisse in eine Malware-Falle. Mehr als 8.500 kleine und mittelständische Unternehmen wurden bereits mit infizierten Downloads attackiert.
Cyberkriminelle verbreiten derzeit über gefälschte Werbeanzeigen manipulierte Versionen bekannter Programme wie PuTTY und WinSCP. Sie zielen dabei gezielt auf IT-Fachkräfte, die nach diesen Tools suchen, und locken sie auf gefälschte Webseiten. Dort bieten sie infizierte Installationsdateien an, die beim Öffnen Schadsoftware einschleusen.
Wird die manipulierte Software gestartet, installiert sich eine Schadsoftware namens Oyster oder Broomstick. Sie verankert sich dauerhaft im System, indem sie einen geplanten Task einrichtet: Alle drei Minuten wird eine schädliche DLL-Datei (twain_96.dll) über das Windows-Programm rundll32.exe ausgeführt. Dabei wird eine Technik verwendet, bei der die DLL wie ein registrierter Bestandteil des Systems erscheint.
Diese gefälschten Webseiten sehen auf den ersten Blick seriös aus. Einige Beispiele:
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]run
- putty[.]bet
- puttyy[.]org
Vermutlich nehmen die Angreifer auch weitere bekannte IT-Tools ins Visier. Deshalb der wichtigste Tipp: Software immer nur von den offiziellen Webseiten der Hersteller herunterladen – und nicht über Werbeanzeigen oder unbekannte Quellen.
Suchtreffer mit Schadcode
Hintergrund der Meldung ist, dass Kriminelle aktuell im großen Stil Suchmaschinen manipulieren, um bei Suchanfragen rund um künstliche Intelligenz ganz oben zu erscheinen. So bringen sie Nutzer dazu, auf präparierte Links zu klicken – und schleusen dabei Schadprogramme ein.
Die gefälschten Webseiten sind mit JavaScript ausgestattet, das zuerst prüft, ob ein Adblocker aktiv ist, und Informationen über den Browser des Besuchers sammelt. Danach wird das Opfer über mehrere Weiterleitungen auf eine Phishing-Seite geschickt, auf der ein ZIP-Archiv zum Download angeboten wird.
Am Ende dieser Umleitungskette wird dem Nutzer eine ZIP-Datei mit einem Passwort zum Herunterladen angeboten, wie das Sicherheitsteam von Zscaler ThreatLabz berichtet. In der Datei steckt Schadsoftware wie Vidar Stealer oder Lumma Stealer.
Das ZIP-Archiv enthält eine besonders große Installationsdatei (800 Megabyte), die absichtlich so groß ist, um seriös zu wirken und automatische Virenscanner auszutricksen, die große Dateien oft überspringen.
Sobald der Installer gestartet wird, führt er ein AutoIt-Skript aus, das die eigentliche Schadsoftware im Hintergrund auf dem Rechner installiert.
Bei einer anderen Variante – dem Legion Loader – läuft der Angriff etwas anders ab: Hier wird die Malware über eine MSI-Installationsdatei ausgeliefert, die ein Batch-Skript startet und so die Schadsoftware auf das System bringt.
Beliebte Webanwendungen als Köder für Schadsoftware
Eine weitere SEO-Kampagne wurde entdeckt, bei der manipulierte Suchmaschinenergebnisse dazu genutzt werden, Nutzer auf gefälschte Webseiten zu locken. Sucht jemand zum Beispiel nach bekannten Webanwendungen, erscheinen in den Suchergebnissen plötzlich Phishing-Seiten, die als angebliche Cloudflare-CAPTCHA-Prüfungen getarnt sind. Diese Seiten verwenden die bekannte ClickFix-Methode, um über den Hijack Loader die Schadsoftware RedLine Stealer auf den Rechner zu schleusen.
Laut dem Sicherheitsunternehmen Kaspersky geraten dabei vor allem kleine und mittelständische Unternehmen (KMU) verstärkt ins Visier. Die Angreifer tarnen ihre Schadsoftware als bekannte Programme rund um künstliche Intelligenz oder Tool zur Kooperation – zum Beispiel OpenAI ChatGPT, DeepSeek, Cisco AnyConnect, Google Drive, Microsoft Office, Teams, Salesforce oder Zoom.
Allein von Januar bis April 2025 wurden rund 8.500 KMU-Nutzer Ziel solcher Angriffe, bei denen Malware oder unerwünschte Software als scheinbar legitime Anwendungen verbreitet wurde, so Kaspersky.
Besonders häufig betroffen war Zoom, das in etwa 41 Prozent der identifizierten Fälle nachgeahmt wurde. Es folgen Outlook und PowerPoint mit jeweils 16 Prozent, Excel mit 12 Prozent, Word mit 9 Prozent und Microsoft Teams mit 5 Prozent.
Auffällig ist auch der starke Anstieg bei gefälschten Dateien, die ChatGPT imitieren: Ihre Zahl hat sich in den ersten vier Monaten des Jahres mehr als verdoppelt (plus 115 Prozent) auf 177 eindeutig bösartige Dateien.
Dass Betrüger manipulierte Suchergebnisse nutzen, um gefälschte Seiten bekannter Marken zu verbreiten, ist nicht neu. Doch in aktuellen Kampagnen gehen die Angreifer noch raffinierter vor: Sie kapern gezielt Suchanfragen nach Support-Seiten von Apple, Microsoft, Netflix, PayPal und anderen großen Unternehmen.
Der Trick: Die Nutzer landen tatsächlich auf den echten Support-Seiten – doch dort wird ihnen eine gefälschte Telefonnummer angezeigt, erklärt das Sicherheitsunternehmen Malwarebytes.
Neue Masche täuscht Nutzer mit gefälschten Support-Hinweisen
Um gefälschte Telefonnummern in den Suchleisten seriöser Webseiten anzuzeigen nutzen Cyberkriminelle derzeit eine Methode namens Search Parameter Injection,. Dabei wirkt es so, als gehöre die eingeblendete Nummer zum offiziellen Kundensupport. Ziel ist es, ahnungslose Nutzer dazu zu bringen, diese Nummer anzurufen – und in eine Support-Falle zu tappen.
Besonders perfide: Die gefälschten Parameter wie etwa „Rufen Sie uns kostenlos an: 1-––**“ erscheinen zwar auf der echten URL der Hilfeseite, sind in der bezahlten Google-Suchanzeige aber nicht sichtbar. Nutzer sehen nur den vertrauten Domainnamen – und schöpfen keinen Verdacht.
Doch die Angriffe beschränken sich nicht auf Google. Auch auf Facebook wurden betrügerische Anzeigen entdeckt: Sie zielen vor allem auf Nutzer von Kryptowährungen, indem sie gefälschte Wallet-Wiederherstellungsseiten bewerben oder Schadsoftware im Zusammenhang mit Pi2Day, einem jährlichen Event der Pi Network Community, verbreiten.
Die Malware wird über Anzeigen verbreitet, die eine angeblich neue Desktop-Version der Pi Network-App für Windows bewerben. Tatsächlich handelt es sich um Schadcode, der gespeicherte Zugangsdaten und Kryptoschlüssel ausliest, Tastatureingaben protokolliert, weitere Schadprogramme nachlädt – und dabei gezielt Erkennungssysteme umgeht.
Laut dem rumänischen Sicherheitsunternehmen Bitdefender steckt hinter den Kampagnen vermutlich ein einzelner Täter, der auf Plattformen wie Meta (Facebook, Instagram) gleichzeitig mehrere Betrugsmodelle betreibt – mit dem Ziel, Reichweite, Profit und Zielgenauigkeit zu maximieren.
PayDay Loader: Schadsoftware versteckt sich in Google-Kalendern und stiehlt Krypto-Daten
Die Malware PayDay Loader nutzt einen ungewöhnlichen Trick: Sie versteckt Steuerbefehle in Google-Kalender-Links, um mit ihrem Kontrollserver (C2) zu kommunizieren. Sobald der Link geöffnet wird, lädt die Schadsoftware einen versteckten JavaScript-Code nach. Dieser startet den bekannten Lumma Stealer, der gezielt persönliche Daten und Zugangsdaten – vor allem aus Krypto-Wallets – ausliest und an die Angreifer überträgt.
Eine auffällige Rolle spielt dabei die E-Mail-Adresse echeverridelfin@gmail[.]com, mit der die manipulierten Google-Kalender erstellt wurden. Dieselbe Adresse wurde auch bei einem schädlichen Entwicklerpaket namens „os-info-checker-es6“ entdeckt. Das deutet darauf hin, dass die Angreifer – bekannt unter dem Namen „Dark Partners“ – verschiedene Wege testen, um ihre Malware zu verbreiten.
Laut Sicherheitsforscher g0njxa besitzt der PayDay Loader ein spezielles Node.js-Modul, das gezielt nach Wallet-Dateien sucht, sie verpackt und an einen festgelegten Server sendet.
Gefälschte Shops und Facebook-Werbung: Betrug im großen Stil
Diese Angriffe sind Teil einer größeren Betrugsmasche, bei der Scammer und Cyberkriminelle riesige Netzwerke aus gefälschten Online-Shops aufbauen. Sie geben vor, echte Markenprodukte zu verkaufen – liefern aber nichts. Stattdessen stehlen sie Zahlungsinformationen oder täuschen Support-Seiten vor.
Die Sicherheitsfirma Silent Push hat ein solches Netzwerk aufgedeckt, das sie „GhostVendors“ nennt. Über mehr als 4.000 gefälschte Webseiten schalten die Täter gezielt Werbung auf Facebook Marketplace. Die Anzeigen laufen oft nur wenige Tage und werden dann gelöscht – so verschwinden sie auch aus der Werbebibliothek von Meta und lassen sich kaum noch zurückverfolgen.
Ein weiteres betrügerisches Netzwerk richtet sich speziell an englisch- und spanischsprachige Nutzer. Die Angreifer – vermutlich aus China – betreiben Fake-Shops, die Kreditkartendaten auf angeblichen Bezahlseiten abgreifen. Manche dieser Seiten verwenden sogar echte Google-Pay-Widgets, um besonders glaubwürdig zu wirken.
„All diese Kampagnen nutzen gezielt das Vertrauen in bekannte Marken, prominente Namen und offizielle Zahlungsmethoden aus, um möglichst viele Nutzer in die Falle zu locken“, warnt Silent Push.
Schutzmaßnahmen: Was Unternehmen jetzt tun sollten
- Nur von offiziellen Seiten laden: Software immer direkt vom Hersteller oder aus zertifizierten Quellen herunterladen – nicht über Werbelinks oder Suchmaschinentreffer.
- Adblocker & Sicherheitslösungen nutzen: Schutz vor Redirects und versteckten Scripten kann viele SEO-Angriffe stoppen.
- Installationen prüfen: Ungewöhnlich große Installer, Passwortgeschützte ZIPs oder Aufforderungen zur Deaktivierung von Sicherheitstools sind Warnzeichen.
- Schulungen und Awareness-Kampagnen: Mitarbeitende müssen sensibilisiert werden, um gefälschte Tools und Webseiten zu erkennen.
Fazit: KI lockt – Malware folgt
Die Angriffe zeigen, wie schnell Cyberkriminelle neue Trends wie künstliche Intelligenz oder Remote-Arbeit aufgreifen, um Nutzer über SEO und Ads zu manipulieren. Wer heute nach Tools wie ChatGPT, Zoom oder WinSCP sucht, kann morgen Opfer eines Stealers werden – wenn er nicht genau hinsieht.
Unternehmen müssen ihre Mitarbeitenden schulen, ihre IT-Strategien überdenken und ihre Sicherheitsarchitektur auf moderne, manipulative Angriffsvektoren wie SEO-Poisoning und Ad-Fraud vorbereiten. Denn Malware kommt längst nicht mehr nur per E-Mail – sondern als vermeintliches KI-Upgrade direkt aus der Google-Suche.