Bing-Anzeige für NordVPN führt zu SecTopRAT (Trojaner)
Malwarebytes hat eine sogenannte Malwertising-Kampagne auf Bing entdeckt, die einen Trojaner auf den Geräten der User einschmuggeln sollte. Dabei tarnt sich die bösartige Kampagne als die VPN-Software NordVPN. Laut den Security-Experten ist Bing neben Google wohl auch ein lukratives Ziel, da die Microsoft-Suchmaschine mit Windows und dem Browser Edge verknüpft ist.
Fällt ein User auf die bösartige Werbung herein, landet er auf einer Website, die dem Original täuschen ähnlich sieht. Laut Malwarebytes gingen die Cyberkriminellen aber noch einen Schritt weiter. Sie versuchten, einen bösartigen Installer digital zu signieren. Damit wollten sie sich als der offizielle Anbieter tarnen. Die User denken, sie bekommen NordVPN, da sie Teil des Pakets ist. Allerdings installieren sie auch Remote Access Trojaner namens SecTopRAT auf dem Computer.
Malwarebytes betont, dass NordVPN ein seriöser VPN-Anbieter ist, die Cyberkriminellen den guten Namen aber ausnutzen. Die Malwaretising-Kampagne wurde von den Security-Experten bereits an Microsoft und andere Betroffene gemeldet.
Malwaretising mit NordVPN
Bei der Suche nach “nord vpn” über die Suchmaschine Bing haben die Experten eine bösartige Anzeige gefunden, die sich als NordVPN tarnt. Die Anzeige selbst ist alleine wegen der URL verdächtig. Der Domainname nordivpn[.]xyz wurde erst am 3. April 2024 erstellt. Ich traue Malwarebytes an dieser Stelle zwar, aber Du kannst das auch mit einer einfachen whois-Abfrage bestätigen.
Wenige Tage später ist Malwarebytes auf die Anzeige gestoßen. Der Namw der Website wurde sicherlich so gewählt, weil er dem offiziellen Namen sehr ähnlich ist. Damit lassen sich unachtsame User täuschen.
Bei der Malwaretising-Kamapgne wird die Anzeigen-URL einfach als Weiterleitung zu einer gefälschten Website verwendet, die dem Original ähnelt. In diesem Fall wurde auf besthord-vpn[.]com umgeleitet. Die Website gibt es weiterhin, aber Firefox warnt bereits, dass es sich um eine betrügerische Website handelt.
Die Website sieht ziemlich echt aus. Im Gegensatz zur echten Website musst Du hier keine Anmeldung durchführen, sondern kannst die gefälschte App, also den Installer mit dem Trojaner, direkt herunterladen.
Malware im Gepäck
Die Datei enthält sowohl einen Installer für NordVPN als auch eine Malware. Der Installer für NordVPN soll die User täuschen. Sie meinen, dass sie ein legitimes Programm installieren.
Fällt ein User auf diese Masche herein, fängt er sich aber die Arechclient2 Backdoor ein. Das ist ein Alias für SecTopRAT.
Pass also immer auf, wenn Du im Internet suchst und sieh besser zweimal hin, bevor Du auf einen Link klickst. Ich selbst sehe wenig Werbung im Internet, weil mein Pi-Hole hervorragende Dienste leistet.
Im Blog von Malwarebytes findest Du weitere Details zu dieser Malwaretising-Kampagne.