SEO-Poisoning-Angriff trifft Windows-Benutzer mit Hiddengh0st- und Winos-Malware
Neue SEO-Poisoning-Kampagne aufgedeckt! FortiGuard Labs enthüllt, wie Angreifer Benutzer mit gefälschten Websites austricksen, um die Malware Hiddengh0st und Winos zu verbreiten.
Eine neue Cyberangriffskampagne zielt auf chinesischsprachige Windows-Nutzer ab, indem sie Suchmaschinenergebnisse manipuliert. Fortinets Forschungsabteilung FortiGuard Labs hat gerade ihren neuesten Forschungsblog veröffentlicht, der enthüllt, wie Angreifer eine Technik namens SEO-Poisoning (Manipulation bösartiger Websites, um oben in den Suchmaschinenergebnissen zu erscheinen) nutzten, um Benutzer zum Herunterladen schädlicher Software zu verleiten.
Laut dem Blogbeitrag von FortiGuard Lab wurde die Kampagne im August 2025 entdeckt. Dabei erstellten Angreifer betrügerische Websites, die fast identisch mit denen legitimer Softwareanbieter aussahen, und nutzten spezielle Plugins, um diese gefälschten Websites künstlich an die Spitze der Suchrankings zu bringen.
Ein Besucher, der glaubte, sich auf einer vertrauenswürdigen Website zu befinden, lud eine scheinbar echte Anwendung herunter. „Die Installationsprogramme enthielten jedoch sowohl die legitime Anwendung als auch die schädliche Nutzlast, sodass es für Benutzer schwierig war, die Infektion zu bemerken“, stellten die Forscher fest.
Sobald ein Benutzer das Installationsprogramm ausführte, startete die Malware eine Datei, die eine Reihe von Prüfungen durchführte. Sie war auf Hinterlist ausgelegt und suchte nach Anzeichen dafür, dass sie in einer Forschungs- oder Sandbox -Umgebung und nicht auf dem Computer einer realen Person ausgeführt wurde. Erkennte sie, dass sie sich in einer Laborumgebung befand, stoppte sie die Ausführung sofort, um nicht entdeckt zu werden. Dies ist ein entscheidendes Detail, um die Methoden der Angreifer zu verstehen.
Diese gefälschten Installationsprogramme wurden entwickelt, um heimlich zwei Arten von Malware zu installieren: Hiddengh0st und Winos . Hiddengh0st ist ein Tool, mit dem Angreifer einen Computer fernsteuern können, während Winos dafür bekannt ist, wertvolle Informationen zu stehlen. Diese gestohlenen Daten können dann für zukünftige Cyberangriffe verwendet werden. Der Schweregrad dieser Kampagne wird aufgrund der potenziellen Auswirkungen auf die Opfer als hoch eingestuft.
Die Verwendung ähnlicher Domänen und kleiner Zeichen (z. B. das Ersetzen des Buchstabens „o“ durch die Zahl „0“) war ein wichtiger Teil der Täuschung. Um sicherzustellen, dass die Schadsoftware auf dem Computer verblieb, modifizierte sie Systemdateien und erstellte neue, die bei jedem Einschalten des Computers automatisch gestartet wurden. Ein Beispiel für die Verwendung gefälschter Websites bei einem solchen Angriff ist: Google.com, nicht ɢoogle.com .
Die Untersuchung ergab außerdem, dass die Schadsoftware eine Vielzahl persönlicher Daten stehlen kann, darunter auch Daten aus Kryptowährungs-Wallets wie Tether und Ethereum. Sie konnte außerdem Tastatureingaben protokollieren und die in die Zwischenablage kopierten Daten erfassen. Die Angreifer konnten dann aus der Ferne Befehle erteilen und so die volle Kontrolle über den infizierten Computer erlangen.
FortiGuard Labs hat diese Studie mit Hackread.com geteilt und verdeutlicht, wie schnell sich Bedrohungen in der digitalen Welt entwickeln. Es ist immer ratsam, im Internet vorsichtig zu sein und einen Domänennamen vor dem Herunterladen von Software sorgfältig zu prüfen.
HackRead
