In der ChatGPT-Google-Ad könnte sich böse Malware verstecken

In der ChatGPT-Google-Ad könnte sich böse Malware verstecken
(Bildnachweis: Shutterstock)
Bestes Netz im ganzen Haus dank STRONG

STRONG LOGO

(Image credit: STRONG)

Mit Mesh-Kits wie dem AX3000 von STRONG genießt du beste Internetabdeckung, Netzwerkstabilität und einfache Handhabung zum Schnäppchenpreis. Sichere dir das preisgünstige Upgrade noch heute. 

Noch nicht überzeugt? Hier erfährst du mehr dazu

Wenn du über eine Google-Anzeige stolperst, die für eine Website wirbt, auf der du bekannte oder erfundene Software herunterladen kannst, sei sehr vorsichtig, denn es könnte sich um eine Malvertising-Kampagne handeln.

RomCom ist eine Backdoor-Malware, die alles Mögliche tun kann: Sie kann cmd.exe ausführen, weitere bösartige Nutzdaten auf dem Zielgerät ablegen, Daten von den kompromittierten Geräten ausspähen, AnyDEsk in einem versteckten Fenster ausführen, Ordner komprimieren und an die Server der Hacker senden oder einen Proxy über SSH einrichten. Darüber hinaus kann RomCom Screenshots von den kompromittierten Computern anfertigen, Cookies von gängigen Browsern stehlen, Kryptowährungsdaten, Chatnachrichten sowie Anmeldedaten und Passwörter stehlen.

Kürzlich entdeckten die Cybersecurity-Forscher von Trend Micro eine neue Malvertising-Kampagne, die RomCom an ahnungslose Opfer verteilte. Die Bedrohungsakteure haben eine Reihe von gefälschten Websites für legitime Software wie Gimp, Go To Meeting, ChatGPT, WinDirSTrat, AstraChat, System Ninja, Devolutions' Remote Desktop Manager und andere erstellt. 

Ziele in Osteuropa

Dann kauften sie über das Google-Werbenetzwerk Slots, um die Websites zu bewerben. Neben der Google-Werbung haben die Angreifer auch "sehr gezielte" Phishing-Attacken durchgeführt, die es auf Opfer in Osteuropa abgesehen haben, hieß es. 

Während die Websites verschiedene Software zum Download anbieten, erhalten die Opfer in Wirklichkeit MSI-Installationsprogramme, die mit einer bösartigen DLL-Datei namens InstallA.dll trojanisiert sind. Diese Datei legt drei weitere DLLs auf dem Zielgerät ab, die mit dem C2-Server kommunizieren und weitere Anweisungen erhalten. 

Die Forscher erklärten auch, wie die Angreifer den Softwarecode VMProtec einsetzten, um sich vor Antivirenprogrammen zu schützen. Außerdem verwenden sie eine Verschlüsselung für die Nutzlast und die Software scheint von seriösen Unternehmen unterzeichnet zu sein, die angeblich in Nordamerika ansässig sind. Die Websites dieser Unternehmen sind jedoch "voll mit gefälschten oder plagiierten Inhalten", wie BleepingComputer herausgefunden hat. 

Die Ziele von RomCom variieren von Kampagne zu Kampagne, so die Publikation weiter, und behauptet, dass die Gruppe sowohl mit Ransomware als auch mit Spionage zu tun hatte. "In jedem Fall handelt es sich um eine vielseitige Bedrohung, die erheblichen Schaden anrichten kann", heißt es in dem Bericht abschließend.

Christopher Barnes
Redakteur

Ich bin Chris und beschäftige mich für TechRadar vor allem mit den Bereichen Filme/ Serien, TV, Grafikkarten und Gaming - im Speziellen alles rund um Xbox. Ursprünglich habe ich in Stuttgart Film- und Fernsehtechnik sowie Drehbuch-Schreiben studiert. Da ich allerdings nicht nur schon immer großer Filmliebhaber, sondern auch leidenschaftlicher Gamer war und es zudem liebe zu schreiben, habe ich mich für den Journalismus in diesem Bereich entschieden. 

Erreichbar bin ich unter der Mail-Adresse cbarnes[at]purpleclouds.de

Mit Unterstützung von
TOPICS