Nach einer Serie von Angriffen auf Facebook verlagern Cyberkriminelle ihre Aktivitäten nun auf Google Ads und YouTube. Bitdefender Labs dokumentiert eine ausgeklügelte Kampagne, die mit gefälschten Premium-Angeboten für die Handelsplattform TradingView lockt und auf Malware-Downloads abzielt.
Die aktuelle Untersuchung der Bitdefender Labs zeigt, wie flexibel und plattformübergreifend Cyberkriminelle vorgehen, um ihre Schadsoftware zu verbreiten. Ziel sind diesmal Nutzerinnen und Nutzer der Kryptowährungsplattform TradingView. Nachdem Angriffe zuvor über Facebook-Ads dokumentiert wurden, verlagern die Täter ihre Aktivitäten nun auf Google Ads und YouTube. Dabei nutzen sie kompromittierte Werbekonten und täuschend echt gestaltete Fake-Kanäle, um Opfer zum Download manipulierter Software zu bewegen.
Abbildung 1 zeigt ein Beispiel für betrügerische Ads (Quelle: Bitdefender)
Kern der Kampagne ist ein kompromittierter YouTube-Kanal, der sich eng am Branding des offiziellen TradingView-Auftritts orientiert. Playlists werden gespiegelt, eigene Videos eingeschleust und durch bezahlte Anzeigen verbreitet. Auffällig ist, dass es sich fast ausschließlich um ungelistete Videos handelt, die nicht über die YouTube-Suche auffindbar sind. Nutzerinnen und Nutzer werden über diese Inhalte auf externe Seiten gelotst, wo die vermeintlich kostenlose TradingView-Premium-App angeboten wird – tatsächlich aber ein Malware-Download lauert.
Die Täter agieren plattformübergreifend auf Windows, macOS und Android. Je nach Zielperson und Situation entscheiden sie mithilfe von Anti-Sandboxing-Techniken, ob eine infizierte Seite ausgeliefert oder ein harmloser Webauftritt gezeigt wird, um einer Entdeckung zu entgehen.
Abbildung 2: Ein ungelistetes Werbevideo auf einen vermeintlichen Zugang zu TradingView Premium bringt es auf über 180.000 Aufrufe. Der Link zu Malware findet sich in der Beschreibung. Wenn Cyberkriminelle jedoch im Opfer kein lohnendes Ziel sehen, leiten sie dieses auf eine harmlose Seite. (Quelle: Bitdefender)
Bitdefender dokumentiert, dass die Kampagne über 500 Domains und Subdomains hinweg betrieben wird – in englischer, vietnamesischer und thailändischer Sprache. Nach einem erfolgreichen Download der Schadsoftware können Angreifer weitreichenden Zugriff auf Systeme und Daten erlangen:
Abfangen des gesamten Netzwerkverkehrs
Sammeln von Cookies und Passwörtern
Aufzeichnen von Tastatureingaben und Screenshots
Diebstahl von Kryptowährungen aus Wallets
Dauerhafter Zugang zum Netzwerk
Die aktuelle Welle gilt als Fortsetzung einer Kampagne, bei der über Facebook-Anzeigen ein Remote-Access-Trojaner (RAT) namens Brokewell verbreitet wurde.
Abbildung 3: Hacker analysieren Analyseverfahren der Cyberabwehr, um gegebenenfalls harmlose Inhalte einzuspielen und so wenig Aufmerksamkeit zu erregen. (Quelle: Bitdefender)
Bitdefender weist auf mehrere Indikatoren hin, die Nutzer stutzig machen sollten. Dazu gehören abweichende YouTube-Channel Handles, ungewöhnlich niedrige Abonnentenzahlen für bekannte Marken sowie ausschließlich ungelistete Videos. Grundsätzlich gilt: Software sollte ausschließlich von offiziellen Websites heruntergeladen werden.
Für TradingView-Interessierte bieten sich zudem Tools wie der KI-gestützte Chatbot Scamio oder der Bitdefender Link Checker an, um verdächtige Links zu prüfen. Content-Creators und Unternehmen empfiehlt Bitdefender eine konsequente Multi-Faktor-Authentifizierung, regelmäßige Überprüfung von Zugriffsrechten und Wachsamkeit gegenüber ungewöhnlichen Aktivitäten wie abrupten Änderungen im Branding oder Video-Uploads.
Eine detaillierte technische Analyse der Kampagne ist auf dem Blog der Bitdefender Labs abrufbar: Link zur Analyse.
