Vorsicht vor Facebook-Clickbait: Betrüger nutzen Google Cloud Run, um Nutzer zu täuschen

Das Threat-Intelligence-Team von Malwarebytes hat eine neue Betrugsmasche auf Facebook entdeckt, die Clickbaiting verwendet und Nutzer:innen mit raffinierten Tricks in eine Geldfalle lockt. Das Besondere daran: Die Betrugsmasche ist auf der Infrastruktur von Google Cloud Run aufgebaut.

San Francisco, Kalifornien, 07.06.2023 /

In der Welt des Internets agieren Online-Kriminelle mit perfiden Absichten, insbesondere auf Social-Media-Plattformen. Ihr Hauptziel ist es, Nutzerinnen und Nutzer dazu zu bringen, auf bösartige Links zu klicken. Dabei lauern sie häufig im Hintergrund und nutzen raffinierte Taktiken, um ihre Opfer zu täuschen.

Jüngste Untersuchungen des Threat-Intelligence-Teams von Malwarebytes haben nun ein ausgeklügeltes Betrugsschema auf Facebook aufgedeckt. Klicken Facebook-Nutzer auf bestimmte Beiträge, werden sie direkt auf externe Webseiten weitergeleitet, deren einziges Ziel es ist, sie mit gefälschten Browser-Warnungen um hohe Geldbeträge zu betrügen.

„Das Besondere an dieser Kampagne ist der Missbrauch von Google Cloud Run, um alle paar Minuten neue bösartige Links zu generieren“, erklärt Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes. „Wir hatten zuvor noch nie einen technischen Support-Betrug gesehen, der auf der serverlosen Plattform von Google gehostet wurde, schon gar nicht in diesem Ausmaß.“ Malwarebytes meldete die Vorfälle sowohl Facebook als auch Google.

Hinter Clickbait-Artikeln stecken bösartigen Links

Für Facebook ist es von entscheidender Bedeutung, dass seine Nutzer Inhalte teilen, sei es in Form von Fotos, Videos oder Links zu verschiedenen Beiträgen. Wenn Nutzer jedoch Links zu externen Webseiten posten, hat Facebook keine Kontrolle mehr über die Nutzererfahrung sowie mögliche Gefahren, die mit einem Besuch dieser externen Webseite verbunden sind.

Das Threat-Intelligence-Team von Malwarebytes hat jetzt mehrere Facebook-Konten identifiziert, die eine Reihe von Beiträgen gepostet haben, darunter vor allem Clickbait-Artikel und Inhalte mit Nachrichtenbezug. Es ist unklar, ob diese Accounts kompromittiert wurden oder nicht. Auffällig ist jedoch, dass einer der identifizierten Accounts mehrere bösartige Links zu unterschiedlichen Zeitpunkten gepostet hat. Dies deutet darauf hin, dass das betreffende Konto möglicherweise von einem Bedrohungsakteur kontrolliert wurde.

Gefälschte Seiten als Tarnmethode

Benutzer, die diese URLs über ein VPN oder aus einem Nicht-Zielland aufrufen, sehen eine scheinbar normale Nachrichtenseite, die keinen offensichtlichen Betrug enthält. Bei näherer Betrachtung stellt sich jedoch heraus, dass es sich um eine gefälschte Seite handelt. Im Wesentlichen handelt es sich um dieselben Inhalte, die lediglich unter einem anderen Domainnamen präsentiert werden. Dies ist eine bekannte Tarnmethode, mit der Betrüger gefälschte Seiten erstellen, um Online-Plattformen und Sicherheitstools zu täuschen.

Klickt man jedoch als echter Nutzer (nicht als Bot oder über ein VPN) auf einen Facebook-Post, wird etwas ganz anderes angezeigt. Das liegt daran, dass sogenannte Cloaking-Domains eine 302-Weiterleitung verwenden. Dabei handelt es sich um eine serverseitige Anweisung, die sofort und nahtlos eine andere Website lädt.

Masche basiert auf Google Cloud Run Infrastruktur

Auffällig bei der Betrugsmasche ist, dass die gefälschten Seiten auf Google Cloud Run gehostet wurden. Entwickler müssen so lediglich einen Container erstellen und ihn als Mikrodienst bereitstellen, ohne dass dafür ein Server erforderlich ist. Dadurch können sie sich vollständig auf die Entwicklung ihres Codes fokussieren. Für Betrüger stellt Google Cloud Run somit eine weitere Plattform dar, die sie mit geringen Kosten für ihre eigenen Zwecke missbrauchen können.

Durch eine längerfristige Beobachtung der Cloaking-Domains konnte Malwarebytes feststellen, dass der Angreifer einen automatisierten Task eingerichtet hat, der alle fünf Minuten eine neue Cloud Run URL generiert. Diese URLs sind sofort verfügbar und dienen als Cloaking-Domains für bösartige Weiterleitungen. Innerhalb weniger Tage konnte Malwarebytes Tausende von bösartigen URLs identifizieren. Das Besorgniserregende dabei ist, dass nicht nur die URLs ständig wechseln, sondern auch die verwendeten IP-Adressen mit anderen Kunden geteilt werden. Dies bedeutet, dass herkömmliche Sicherheitsprodukte, die auf einer Domain- oder IP-Blockliste basieren, mit dieser ausgeklügelten Kampagne nicht Schritt halten können.

Der Malwarebytes Browser Guard ist in der Lage, Nutzer gegen diese Angriffe zu schützen − egal wie oft die Betrüger die Google Cloud Run URLs ändern. Die integrierte heuristische Fraud-Engine erkennt und blockiert schädlichen Code in Echtzeit.

Clickbait-Artikel mit bösartigen Links

Soziale Medien sorgen zwar für gute Unterhaltung und sind gleichzeitig eine gute Möglichkeit, mit Familie und Freunden in Kontakt zu bleiben. Die Nutzung dieser Plattformen birgt jedoch auch einige Risiken. Gerade Clickbait-Artikel sind berüchtigt dafür, dass sie zu verschiedenen gefälschten Angeboten und bösartigen Webseiten führen. Ein weiteres Problem ist, dass sich Clickbait-Artikel schnell verbreiten können, wenn die Opfer versehentlich Links mit ihren Kontakten teilen. Die Betrüger wissen natürlich genau, wie sie bestimmte Bevölkerungsgruppen wie Senioren ansprechen und mit irreführenden Facebook-Posts ködern können.

Jetzt teilen:

Über Malwarebytes

Malwarebytes ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit und bietet preisgekrönte Lösungen für Endgeräteschutz, Datenschutz und Bedrohungsabwehr. Heute vertrauen Millionen von Privatanwendern und Unternehmen auf die jahrzehntelange Erfahrung von Malwarebytes, wenn es darum geht, Bedrohungen in jeder Phase des Angriffszyklus zu stoppen, digitale Identitäten zu schützen oder den Schutz von Daten und Privatsphäre zu gewährleisten. Ein erstklassiges Team von Bedrohungsforschern und firmeneigene, KI-basierte Engines liefern wertvolle Daten, um sowohl bekannte als auch unbekannte Bedrohungen zu erkennen und zu beseitigen. Das Unternehmen hat seinen Hauptsitz in Kalifornien und verfügt über Niederlassungen in Europa und Asien. Weitere Informationen finden Sie unter  de.malwarebytes.com.

 

Malwarebytes auf:

Pressekontakt Malwarebytes

Malwarebytes
3979 Freedom Circle, 12th Floor
Santa Clara, CA 95054
USA

Dara Sklar
Head of Content & Communications
Email: press@malwarebytes.com
Web: www.malwarebytes.com

Kontakt PR-Agentur

Schwartz Public Relations GmbH
Sendlinger Straße 42A
D-80331 München

Team Malwarebytes
E-Mail: malwarebytes@schwartzpr.de

Daniela Palatzky
Tel.: +49 (0) 89 211 871 71
E-Mail: dp@schwartzpr.de

Florian Stark
Tel.: +49 (0) 89 211 871 66
E-Mail: fs@schwartzpr.de

Sven Kersten-Reichherzer
Tel.: +49 (0) 89 211871-36
E-Mail: sk@schwartzpr.de

Downloads

Klicken Sie auf ein Bild, um eine große Version des Bildes anzuzeigen (und dann Download per Rechtsklick).

    Weitere Beiträge
    des Kunden