In der Welt des Internets agieren Online-Kriminelle mit perfiden Absichten, insbesondere auf Social-Media-Plattformen. Ihr Hauptziel ist es, Nutzerinnen und Nutzer dazu zu bringen, auf bösartige Links zu klicken. Dabei lauern sie häufig im Hintergrund und nutzen raffinierte Taktiken, um ihre Opfer zu täuschen.
Jüngste Untersuchungen des Threat-Intelligence-Teams von Malwarebytes haben nun ein ausgeklügeltes Betrugsschema auf Facebook aufgedeckt. Klicken Facebook-Nutzer auf bestimmte Beiträge, werden sie direkt auf externe Webseiten weitergeleitet, deren einziges Ziel es ist, sie mit gefälschten Browser-Warnungen um hohe Geldbeträge zu betrügen.
„Das Besondere an dieser Kampagne ist der Missbrauch von Google Cloud Run, um alle paar Minuten neue bösartige Links zu generieren“, erklärt Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes. „Wir hatten zuvor noch nie einen technischen Support-Betrug gesehen, der auf der serverlosen Plattform von Google gehostet wurde, schon gar nicht in diesem Ausmaß.“ Malwarebytes meldete die Vorfälle sowohl Facebook als auch Google.
Hinter Clickbait-Artikeln stecken bösartigen Links
Für Facebook ist es von entscheidender Bedeutung, dass seine Nutzer Inhalte teilen, sei es in Form von Fotos, Videos oder Links zu verschiedenen Beiträgen. Wenn Nutzer jedoch Links zu externen Webseiten posten, hat Facebook keine Kontrolle mehr über die Nutzererfahrung sowie mögliche Gefahren, die mit einem Besuch dieser externen Webseite verbunden sind.
Das Threat-Intelligence-Team von Malwarebytes hat jetzt mehrere Facebook-Konten identifiziert, die eine Reihe von Beiträgen gepostet haben, darunter vor allem Clickbait-Artikel und Inhalte mit Nachrichtenbezug. Es ist unklar, ob diese Accounts kompromittiert wurden oder nicht. Auffällig ist jedoch, dass einer der identifizierten Accounts mehrere bösartige Links zu unterschiedlichen Zeitpunkten gepostet hat. Dies deutet darauf hin, dass das betreffende Konto möglicherweise von einem Bedrohungsakteur kontrolliert wurde.
Gefälschte Seiten als Tarnmethode
Benutzer, die diese URLs über ein VPN oder aus einem Nicht-Zielland aufrufen, sehen eine scheinbar normale Nachrichtenseite, die keinen offensichtlichen Betrug enthält. Bei näherer Betrachtung stellt sich jedoch heraus, dass es sich um eine gefälschte Seite handelt. Im Wesentlichen handelt es sich um dieselben Inhalte, die lediglich unter einem anderen Domainnamen präsentiert werden. Dies ist eine bekannte Tarnmethode, mit der Betrüger gefälschte Seiten erstellen, um Online-Plattformen und Sicherheitstools zu täuschen.
Klickt man jedoch als echter Nutzer (nicht als Bot oder über ein VPN) auf einen Facebook-Post, wird etwas ganz anderes angezeigt. Das liegt daran, dass sogenannte Cloaking-Domains eine 302-Weiterleitung verwenden. Dabei handelt es sich um eine serverseitige Anweisung, die sofort und nahtlos eine andere Website lädt.
Masche basiert auf Google Cloud Run Infrastruktur
Auffällig bei der Betrugsmasche ist, dass die gefälschten Seiten auf Google Cloud Run gehostet wurden. Entwickler müssen so lediglich einen Container erstellen und ihn als Mikrodienst bereitstellen, ohne dass dafür ein Server erforderlich ist. Dadurch können sie sich vollständig auf die Entwicklung ihres Codes fokussieren. Für Betrüger stellt Google Cloud Run somit eine weitere Plattform dar, die sie mit geringen Kosten für ihre eigenen Zwecke missbrauchen können.
Durch eine längerfristige Beobachtung der Cloaking-Domains konnte Malwarebytes feststellen, dass der Angreifer einen automatisierten Task eingerichtet hat, der alle fünf Minuten eine neue Cloud Run URL generiert. Diese URLs sind sofort verfügbar und dienen als Cloaking-Domains für bösartige Weiterleitungen. Innerhalb weniger Tage konnte Malwarebytes Tausende von bösartigen URLs identifizieren. Das Besorgniserregende dabei ist, dass nicht nur die URLs ständig wechseln, sondern auch die verwendeten IP-Adressen mit anderen Kunden geteilt werden. Dies bedeutet, dass herkömmliche Sicherheitsprodukte, die auf einer Domain- oder IP-Blockliste basieren, mit dieser ausgeklügelten Kampagne nicht Schritt halten können.
Der Malwarebytes Browser Guard ist in der Lage, Nutzer gegen diese Angriffe zu schützen − egal wie oft die Betrüger die Google Cloud Run URLs ändern. Die integrierte heuristische Fraud-Engine erkennt und blockiert schädlichen Code in Echtzeit.
Clickbait-Artikel mit bösartigen Links
Soziale Medien sorgen zwar für gute Unterhaltung und sind gleichzeitig eine gute Möglichkeit, mit Familie und Freunden in Kontakt zu bleiben. Die Nutzung dieser Plattformen birgt jedoch auch einige Risiken. Gerade Clickbait-Artikel sind berüchtigt dafür, dass sie zu verschiedenen gefälschten Angeboten und bösartigen Webseiten führen. Ein weiteres Problem ist, dass sich Clickbait-Artikel schnell verbreiten können, wenn die Opfer versehentlich Links mit ihren Kontakten teilen. Die Betrüger wissen natürlich genau, wie sie bestimmte Bevölkerungsgruppen wie Senioren ansprechen und mit irreführenden Facebook-Posts ködern können.