Das Beispiel von Notepad++ zeigt, dass die Suche nach einer bestimmten Software bei Google schnell zu gefährlicher Malware führen kann.
Eines der beliebtesten Textverarbeitungsprogramme, Notepad++, könnte zum Einfallstor für gefährliche Malware werden. In einer alarmierenden Entdeckung haben Cybersicherheitsforscher eine neue Malvertising-Kampagne in den Suchergebnissen von Google entdeckt. Die Kampagne zielt darauf ab, ahnungslose Opfer mit Cobald Strike zu infizieren.
Die verhängnisvolle Suche nach Notepad++
Angreifer manipulieren Google-Werbung, die für Nutzer geschaltet wurde, die nach Notepad++ suchen. Sobald jemand nach dem beliebten Texteditor Ausschau hält, erscheinen als erste Ergebnisse Anzeigen, von denen einige zu bösartigen Websites führen. Die Cyberkriminellen wenden eine bewährte Taktik an, um ihre Opfer zu täuschen: Auf der Ergebnisseite der Suchmaschine werden die Titel der Websites in größerer Schrift als die Links angezeigt. Dies kann dazu führen, dass Nutzer auf das vorgeschlagene Ergebnis klicken, ohne es vorher genau zu prüfen.
Die gefälschten Websites sehen täuschend echt aus und ähneln der legitimen Notepad++-Website. Wenn der Besucher auf den Link klickt, führt die Website zunächst Tests durch, um sicherzustellen, dass es sich nicht um einen Bot oder ein VPN handelt. Danach wird eine Seite angezeigt, die der echten Notepad++-Webseite sehr ähnlich sieht. Besucher, die nicht als solche erkannt werden, werden auf eine andere Seite umgeleitet. Wiederkehrende Seitenaufrufe erhalten eine 404-Fehlermeldung.
Cobalt Strike als Vorbereitung für Ransomware-Angriffe
Die Forscher von Malwarebytes konnten die tatsächliche Nutzlast der Malware in dieser Notepad++-Kampagne zwar nicht analysieren, gehen aber davon aus, dass die Angreifer wahrscheinlich Cobalt Strike verwenden. Dabei handelt es sich nicht um eine gewöhnliche Schadsoftware. Sie gilt als eine „Penetration Testing“-Software, die ursprünglich für ethische Hacker entwickelt wurde, um Schwachstellen in Computersystemen aufzuspüren. Leider wird es nun von böswilligen Akteuren im Zusammenhang mit Notepad++ missbraucht, um Angriffe durchzuführen und Netzwerke zu infiltrieren.
Das Besorgniserregende an Cobalt Strike ist seine Vielseitigkeit. Es ermöglicht Angreifern, sich in einem gehackten System einzunisten, sich dort unerkannt zu bewegen und Aktivitäten zu simulieren, die oft wie die eines normalen Benutzers aussehen. Dies macht die Erkennung und Bekämpfung extrem schwierig.
Cobalt Strike wird häufig als Vorläufer von Ransomware-Angriffen eingesetzt. Die Angreifer nutzen Cobalt Strike, um sich Zugang zu verschaffen, Schwachstellen zu erkunden und Sicherheitsmaßnahmen zu umgehen. Dies macht Cobalt Strike zu einer gefährlichen Waffe in der Welt der Cyberkriminalität.
Malvertising ist nichts Neues
Missbrauch von Werbenetzwerken zur Verbreitung von Malware (Malvertising) ist keine neue Taktik. Ihr solltet daher stets darauf achten, dass ihr eure Software wie zum Beispiel Notepad++ nur von vertrauenswürdigen Quellen herunterladet.
Die Entdeckung der Sicherheitsforscher von Malwarebytes ist eine Erinnerung an uns alle aufmerksam zu bleiben und uns bewusst zu sein, dass auch vertrauenswürdige Suchmaschinen wie Google nicht vor böswilligen Angriffen gefeit sind.
