Google-Ergebnisliste wurde von Phishing-Kriminellen gekapert

Christian Kahle, 03.11.2022 08:51 Uhr
Einer der wichtigsten Tipps, um Risiken im Netz zu umschiffen, lautet in der Regel, vertrauenswürdige Quellen zu verwenden. Das wird natürlich ein Problem, wenn es Kriminellen gelingt, sich genau hier festzusetzen - wie etwa in einem Google-Service. Wer in den letzten Tagen nach der freien Grafikbearbeitung GIMP suchte, bekam oben in den Ergebnislisten der Google-Websuche eine Anzeige präsentiert, die allem Anschein nach auf die offizielle Projektseite Gimp.org leitete. Allerdings war dem nicht so. Der Nutzer landete stattdessen auf einer täuschen echt wirkenden, aber nachgebauten Seite - und damit in den Händen von Phishern.

Die gefälschte Seite bot Usern durchaus auch das, was sie mit größter Wahrscheinlichkeit suchten: Den Download einer Installationsdatei. Dieser war über 700 Megabyte groß, was durchaus dem entspricht, was man vom Download eines Grafikprogramms erwartet. Den Anwender erwartete hier dann aber nicht das gewünschte Werkzeug, sondern eine Malware, wie aus einem Bericht von Bleeping Computer hervorgeht.


Ungenügende Prüfung

Um die trojanisierte ausführbare Datei glaubhaft als GIMP auszugeben, blähte der Anbieter die Malware, die ansonsten weniger als 5 MB groß ist, mit einer einfachen Technik, dem sogenannten Binary Padding, künstlich auf 700 Megabyte auf. Der Schadcode war also noch nicht einmal in einer funktionierenden Anwendung versteckt, wie es gelegentlich auch der Fall ist.

Der Angreifer machte sich hier offenbar eine problematische Option im Anzeigen-Programm Googles zunutze: Das Unternehmen ermöglicht es Publishern, Anzeigen mit zwei verschiedenen URLs zu erstellen: eine Display-URL, die in der Anzeige verwendet wird, und eine Landing-URL, zu der der Nutzer tatsächlich weitergeleitet wird. Die beiden müssen nicht identisch sein, aber es gibt strenge Richtlinien, was bei Display-URLs erlaubt ist, und diese müssen dieselbe Domain verwenden wie die Landing-URL. Es sieht allerdings so aus, als hätte es hinsichtlich dessen schlicht keine Prüfung gegeben, sodass die User in die Irre geführt werden konnten.

Siehe auch:
Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2023 WinFuture Impressum Datenschutz Cookies