Gefälschte Cisco Webex-Anzeigen nutzen Google Ads Tracking-Vorlagen, um Malware zu verbreiten

Cyberkriminelle haben eine Schwachstelle der Google Ads Tracking-Vorlagen genutzt, um überzeugende Suchanzeigen für Webex-Software zu erstellen. Diese leiten Nutzer auf Websites weiter, die die BatLoader-Malware verbreiten. Webex ist eine Videokonferenz- und Contact-Center-Suite, die Teil des Produktportfolios von Cisco ist und weltweit von Unternehmen eingesetzt wird.

Schlagworte:

Gefälschte Cisco Webex-Anzeigen nutzen Google Ads Tracking-Vorlagen, um Malware zu verbreiten

14. September 2023     Kategorie: IT & Sicherheit
Screenshot Fake Cisco Webex Google Ads.jpg

Laut Malwarebytes ist die Malvertising-Kampagne seit einer Woche in der Google-Suche aktiv, wobei die Angreifer aus Mexiko stammen.

Schadhafter Google Ad-Kampagne


Malwarebytes berichtet, dass eine schadhafte Google-Anzeige das offizielle Webex-Download-Portal imitiert und bei der Google-Suche zum Suchbegriff "webex" auf der höchsten Position erscheint.

Die Anzeige wirkt legitim, da sie das echte Webex-Logo verwendet und die legitime URL "webex.com" als Ziel für den Klick anzeigt. Diese Komponenten lassen die Anzeige echt erscheinen und von einer echten Anzeige von Cisco nicht zu unterscheiden.

Die Angreifer können eine Schwachstelle in der Tracking-Vorlage der Google Ads-Plattform ausnutzen, die es ihnen ermöglicht, unbegrenzt umzuleiten, während sie Google-Richtlinien einhalten.

Konkret erlaubt Google Werbetreibenden, Tracking-Vorlagen mit URL-Parametern zu verwenden, die einen "finalen URL"-Konstruktionsprozess basierend auf gesammelten Benutzerinformationen über ihr Gerät, ihren Standort und andere Metriken im Zusammenhang mit der Anzeigeninteraktionen definieren.

Die Richtlinie besagt, dass die sichtbare URL einer Anzeige und die finale URL zur gleichen Domain gehören müssen. Die Tracking-Vorlage kann jedoch die Nutzer zu einer Website außerhalb der angegebenen Domain umleiten.

In diesem Fall haben die Angreifer eine Firebase-URL ("trixwe.page[.]link") als ihre Tracking-Vorlage verwendet, mit einer finalen legitim wirkenden URL von www.webex.com.

Wenn der Besucher ein Ziel der Bedrohungsakteure ist, werden sie auf eine Malware-verteilende Webseite mit dem Namen "webexadvertisingoffer[.]com" umgeleitet, während alle anderen auf die legitime Webseite "webex.com" von Cisco weitergeleitet werden.

Fake Cisco Webex Webseite.jpg
Wenn jedoch auf die Anzeige geklickt wird, werden die Besucher auf "trixwe.page[.]link" umgeleitet, was Besuche von Forschern und automatisierten Crawlers ausschließt.

Falsche Webex-Installer


Wenn Besucher der gefälschten Webex-Seite auf die Download-Schaltflächen klicken, erhalten sie einen MSI-Installer, der mehrere Prozesse startet und PowerShell-Befehle ausführt, um die BatLoader-Malware zu installieren.

Diese Malware lädt letztendlich eine zusätzliche DanaBot-Malware herunter, entschlüsselt sie und führt sie aus.

DanaBot ist ein modulares Banken-Trojaner, der seit 2018 aktiv ist und in der Lage ist, Passwörter zu stehlen, Screenshots zu machen, Ransomware-Module zu laden, bösartigen C2-Verkehr zu maskieren und direkten Zugriff auf kompromittierte Hosts über HVNC zu ermöglichen.

Diejenigen, die mit DanaBot infiziert sind, haben ihre Zugangsdaten gestohlen, die an die Angreifer geschickt werden. Diese können sie entweder für weitere Angriffe nutzen oder an andere Cyberkriminelle verkaufen.

Es ist empfehlenswert, bei der Suche nach Software immer von den beworbenen Ergebnissen in der Google-Suche abzusehen und nur direkt vom Softwareentwickler oder einer bekannten, vertrauenswürdigen Website herunterzuladen.

Quelle: Fake Cisco Webex Google Ads abuse tracking templates to push malware
 
+ Multi-Zitat Zitieren
Auf dieses Thema antworten