Betrug bei Ihren Google-Suchen: So funktioniert Malvertising.

Was passiert, wenn Googles eigener Storefront zur Falle wird? Dies ist kein hypothetisches Szenario, sondern vielmehr das neue Schlachtfeld der Cyberkriminalität: Google Ads , eine der größten und modernsten Werbeplattformen der Welt, ist sowohl zum Ziel als auch zum Vehikel einer Phishing-Kampagne geworden, die Social Engineering, fortschrittliche Tarntechniken und globale Logistik kombiniert.

Seit Mitte November 2024 nutzt ein Netzwerk böswilliger Akteure, vermutlich portugiesischsprachig, Schwachstellen in den Überprüfungsrichtlinien von Google Ads aus, um Kampagnen zu starten, die legitim erscheinen , aber darauf ausgelegt sind, Anmeldeinformationen, Zwei-Faktor-Authentifizierungscodes und letztendlich ganze Konten zu stehlen. Das Ziel besteht nicht nur darin, zu stehlen, sondern diese Konten wiederzuverwenden, um den Betrug auszuweiten und die Gewinne zu vervielfachen .

Wie ist es möglich, dass etwas so Einfaches wie ein Anzeigenlink, den Sie bei Google sehen, einen Benutzer auf eine gefälschte Site umleiten kann, ohne Verdacht zu erregen? Warum ist es Google trotz aller Ressourcen nicht gelungen, diese Betrugskette zu stoppen? Und vor allem: Treten wir in eine Ära ein, in der die organisierte Kriminalität das digitale Werbe-Ökosystem von innen heraus dominiert?

Der Schlüssel zu diesem Vorgang ist nicht die zerstörerischste Malware oder eine neue Software-Sicherheitslücke, sondern ein einfaches technisches Detail: Bei Google Ads ist es nicht erforderlich, dass die Ziel-URL genau mit der in der Anzeige angezeigten URL übereinstimmt , solange die primäre Domäne dieselbe ist.

Dadurch kann der Reiseverlauf einer Person, die Opfer von Malvertising geworden ist, wie folgt aussehen:

1. Sie führen eine Google-Suche durch
2. Sie klicken auf eine der prominenten Anzeigen, die Ihnen am Anfang der Ergebnisse angezeigt werden und die auffälliger sind.
3. Die URL, zu der Sie weitergeleitet werden, ist eine andere als die in der Anzeige angezeigte.
4. Hacker nutzen die von Ihnen eingegebenen Daten aus, um das Angebot zu erhalten, diese zu behalten.

Diese kleine Nuance wurde zur Lücke, durch die eine globale Malvertising -Operation durchgeschlüpft ist. Angreifer erstellen Anzeigen, die scheinbar legitime URLs anzeigen und dann zu Phishing-Seiten führen.

Diese gefälschten Seiten imitieren das Design anderer bekannter Seiten und beinhalten sogar Mechanismen zur zweistufigen Authentifizierung , mit dem Unterschied, dass sie so konzipiert sind, dass sie sowohl den Benutzernamen und das Passwort als auch den 2FA-Code in Echtzeit über verschlüsselte WebSocket-Verbindungen erfassen.

Dieses gesamte System wird durch zusätzliche Techniken unterstützt:

• Fingerabdrücke , um eine Erkennung durch automatisierte Systeme zu vermeiden.
• Cloaking und gefälschte CAPTCHAs, um Bots herauszufiltern und sicherzustellen, dass nur Menschen auf Phishing-Betrug zugreifen.
• Lokale .pt-Domänen und Server mit Standort in Brasilien oder Portugal, um den Anschein regionaler Legitimität zu verstärken.

Sobald die Anmeldeinformationen vorliegen, besteht der nächste Schritt in der Entführung. Angreifer greifen nicht nur auf Ihr Google Ads-Konto zu: Sie fügen neue Administratoren hinzu , ändern wichtige Einstellungen und verwenden Ihr vorhandenes Anzeigenbudget, um ihre eigenen betrügerischen Anzeigen zu schalten.

Es ist eine erfolgreiche Operation, da sie alles erreicht:

1. Sie erfassen ein legitimes Konto.
2. Sie starten Anzeigen mit diesem gestohlenen Konto.
3. Durch diese Anzeigen gewinnen sie neue Opfer.
4. Sie wiederholen den Zyklus.

Im Wesentlichen handelt es sich dabei nicht um eine neue Technik, aber ihre Anwendung im großen Maßstab und ihr Grad an Raffinesse sind neuartig. Ähnliche Kampagnen gab es bereits im Werbe-Ökosystem von Facebook. Nun sind Google Ads zur neuen Bühne dieses stillen Krieges geworden.

Laut Malwarebytes stammten einige der in dieser Kampagne verwendeten Konten von Einrichtungen wie einem Regionalflughafen, was eine Vorstellung davon vermittelt, welchen Grad an Zugriff diese Akteure erreicht haben.

Google hat die Existenz des Problems eingeräumt und erklärt, dass es „aktiv untersucht“ und „Durchsetzungsmaßnahmen ergreift“, darunter die Entfernung von mehr als 3,4 Milliarden Anzeigen und die Sperrung von mehr als 5,6 Millionen Konten im Jahr 2023.

Die Monetarisierung dieser gestohlenen Konten beschränkt sich nicht auf ihre direkte Nutzung. In Untergrundforen werden verifizierte Profile mit Zugriff auf aktive Kampagnen zu Preisen zwischen 500 und 5.000 Euro verkauft, je nach Investitionshistorie und Zugriffsart.

Parallel dazu verbreiten Angreifer Malware auch über legitime Plattformen wie YouTube oder SoundCloud und tarnen Raubkopien von Installationsprogrammen beliebter Software mit Hintertüren wie Amadey , Lumma Stealer , Vidar oder PrivateLoader . Diese Programme sammeln noch mehr Anmeldeinformationen und steigern so den Wert jedes erfassten Opfers.

Dieses Geschäftsmodell, das betrügerische Werbung, gezieltes Phishing und den Weiterverkauf auf Schwarzmärkten kombiniert, ist nicht nur lukrativ, sondern auch äußerst widerstandsfähig. Der Schlüssel liegt darin, legitime Dienste zu nutzen, um illegitime Vorgänge zu verbergen.