Facebook-Clickbait: Betrüger nutzen Google Cloud Run, um Nutzer zu täuschen

Sicherheit (Pexels, allgemeine Nutzung)[English]Online-Kriminelle denken ständig über Möglichkeiten nach, um Opfer über Social-Media-Plattformen in die Falle zu locken. Hauptziel ist es, Nutzerinnen und Nutzer dazu zu bringen, auf bösartige Links zu klicken. Dabei lauern sie häufig im Hintergrund und nutzen raffinierte Taktiken, um ihre Opfer zu täuschen. Das Threat-Intelligence-Team von Malwarebytes hat eine neue Betrugsmasche auf Facebook entdeckt, die Clickbaiting verwendet und Nutzer mit raffinierten Tricks in eine Geldfalle lockt. Das Besondere daran: Die Betrugsmasche ist auf der Infrastruktur von Google Cloud Run aufgebaut.


Anzeige

Wie mir die Sicherheitsforscher von Malwarebytes mitteilten, ist das Threat-Intelligence-Team bei den jüngsten Untersuchungen auf ein ausgeklügeltes Betrugsschema auf Facebook gestoßen. Klicken Facebook-Nutzer auf bestimmte Beiträge, werden sie direkt auf externe Webseiten weitergeleitet, deren einziges Ziel es ist, sie mit gefälschten Browser-Warnungen um hohe Geldbeträge zu betrügen.

"Das Besondere an dieser Kampagne ist der Missbrauch von Google Cloud Run, um alle paar Minuten neue bösartige Links zu generieren", erklärt Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes. "Wir hatten zuvor noch nie einen technischen Support-Betrug gesehen, der auf der serverlosen Plattform von Google gehostet wurde, schon gar nicht in diesem Ausmaß." Malwarebytes meldete die Vorfälle sowohl Facebook als auch Google.

Clickbait-Artikel mit bösartigen Links

Für Facebook ist es von entscheidender Bedeutung, dass seine Nutzer Inhalte teilen, sei es in Form von Fotos, Videos oder Links zu verschiedenen Beiträgen. Wenn Nutzer jedoch Links zu externen Webseiten posten, hat Facebook keine Kontrolle mehr, was dort passiert und kennt auch mögliche Gefahren, die mit einem Besuch dieser externen Webseite verbunden sind, nicht.

Das Threat-Intelligence-Team von Malwarebytes hat jetzt mehrere Facebook-Konten identifiziert, die eine Reihe von Beiträgen gepostet haben. Unter den Beiträgen waren vor allem Clickbait-Artikel und Inhalte mit Nachrichtenbezug. Es ist unklar, ob diese Accounts kompromittiert wurden oder nicht. Auffällig ist jedoch, dass einer der identifizierten Accounts mehrere bösartige Links zu unterschiedlichen Zeitpunkten gepostet hat. Dies deutet darauf hin, dass das betreffende Konto möglicherweise von einem Bedrohungsakteur kontrolliert wurde.


Anzeige

Gefälschte Seiten als Tarnmethode

Benutzer, die diese URLs der geposteten Beiträge über ein VPN oder aus einem Nicht-Zielland aufrufen, sehen eine scheinbar normale Nachrichtenseite, die keinen offensichtlichen Betrug enthält. Bei näherer Betrachtung stellt sich jedoch heraus, dass es sich um eine gefälschte Seite handelt. Im Wesentlichen handelt es sich um dieselben Inhalte, die lediglich unter einem anderen Domainnamen präsentiert werden. Dies ist eine bekannte Tarnmethode, mit der Betrüger gefälschte Seiten erstellen, um Online-Plattformen und Sicherheitstools zu täuschen.

Klickt man jedoch als echter Nutzer (nicht als Bot oder über ein VPN) auf einen Facebook-Post, wird auf der Zielseite etwas ganz anderes angezeigt. Das liegt daran, dass sogenannte Cloaking-Domains eine 302-Weiterleitung verwenden. Dabei handelt es sich um eine serverseitige Anweisung, die sofort und nahtlos eine andere Website lädt.

Masche basiert auf Google Cloud Run Infrastruktur

Auffällig bei der Betrugsmasche ist, dass die gefälschten Seiten auf Google Cloud Run gehostet wurden. Entwickler müssen so lediglich einen Container erstellen und ihn als Mikrodienst bereitstellen, ohne dass dafür ein Server erforderlich ist. Dadurch können sie sich vollständig auf die Entwicklung ihres Codes fokussieren. Für Betrüger stellt Google Cloud Run somit eine weitere Plattform dar, die sie mit geringen Kosten für ihre eigenen Zwecke missbrauchen können.

Durch eine längerfristige Beobachtung der Cloaking-Domains konnte Malwarebytes feststellen, dass der Angreifer einen automatisierten Task eingerichtet hat, der alle fünf Minuten eine neue Cloud Run URL generiert. Diese URLs sind sofort verfügbar und dienen als Cloaking-Domains für bösartige Weiterleitungen. Innerhalb weniger Tage konnte Malwarebytes Tausende von bösartigen URLs identifizieren.

Das Besorgniserregende dabei ist, dass nicht nur die URLs ständig wechseln, sondern auch die verwendeten IP-Adressen mit anderen Kunden geteilt werden. Dies bedeutet, dass herkömmliche Sicherheitsprodukte, die auf einer Domain- oder IP-Blockliste basieren, mit dieser ausgeklügelten Kampagne nicht Schritt halten können.

Clickbait-Artikel mit bösartigen Links

Soziale Medien sorgen zwar für gute Unterhaltung und sind gleichzeitig eine gute Möglichkeit, mit Familie und Freunden in Kontakt zu bleiben. Die Nutzung dieser Plattformen birgt jedoch auch einige Risiken. Gerade Clickbait-Artikel sind berüchtigt dafür, dass sie zu verschiedenen gefälschten Angeboten und bösartigen Webseiten führen. Ein weiteres Problem ist, dass sich Clickbait-Artikel schnell verbreiten können, wenn die Opfer versehentlich Links mit ihren Kontakten teilen. Die Betrüger wissen natürlich genau, wie sie bestimmte Bevölkerungsgruppen wie Senioren oder Jugendliche ansprechen und mit irreführenden Facebook-Posts ködern können.

Weitere Einblicke in die technischen Details der Betrugsmasche finden sich im Blog von Malwarebytes. Die Sicherheitsforscher weisen darauf hin, dass der Malwarebytes Browser Guard ist in der Lage, Nutzer gegen diese Angriffe zu schützen − egal wie oft die Betrüger die Google Cloud Run URLs ändern. Die integrierte heuristische Fraud-Engine erkennt und blockiert schädlichen Code in Echtzeit.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.