Sicherheitsforscher warnen vor einer neuen Angriffswelle, die Google Ads für die Verbreitung von Schadsoftware nutzt. Die als „Operation Poseidon“ bekannte Kampagne schleust die gefährliche EndRAT-Malware an Filtern vorbei.
Vertraute Links als perfide Falle
Die Angreifer missbrauchen gezielt die vertrauenswürdige Infrastruktur von Google Ads. Sie betten bösartige Weiterleitungen in legitime ad.doubleclick.net-Links ein. Da diese Domäne zum Google-Werbeökosystem gehört, lassen viele Sicherheitslösungen die Phishing-Mails passieren.
Sicherheitsanalysten von Paubox bestätigten diese Woche, dass die Kampagne weiter aktiv ist. Sie zielt vornehmlich auf Organisationen ab – mit Ködern, die an Finanzinstitute oder Menschenrechtsgruppen adressiert sind.
So funktioniert der dreistufige Angriff
Der Mechanismus zeigt das präzise Verständnis der Angreifer für Google-Systeme.
1. Die Täuschung: Das Opfer erhält eine Spear-Phishing-E-Mail, getarnt als dringende Geschäftsmitteilung. Der enthaltene Link beginnt mit einer legitimen Google-Tracking-URL.
2. Die Umleitung: Ein Klick leitet die Anfrage über Google-Server. Manipulierte Parameter in der URL weisen den Dienst an, sofort auf eine kompromittierte Webseite – oft gehackte WordPress-Instanzen – weiterzuleiten. Für Filter sieht der ursprüngliche Klick harmlos aus.
3. Die Infektion: Auf der Zielseite lockt ein bösartiges ZIP-Archiv. Darin verstecken sich oft LNK-Dateien, die Skripte auslösen. Diese laden die EndRAT-Malware direkt in den Arbeitsspeicher (Fileless Malware). Herkömmliche Virenscanner, die Festplattendateien prüfen, werden so umgangen.
Wer steckt hinter „Operation Poseidon“?
Sicherheitsexperten schreiben die Kampagne der APT-Gruppe „Konni“ zu. Diese wird seit Jahren mit nordkoreanischen Interessen in Verbindung gebracht. Die Gruppe pflegt und passt ihre Infrastruktur aktiv an, um Entdeckung zu vermeiden.
Die EndRAT-Malware ist ein Remote Access Trojan. Einmal installiert, ermöglicht sie Angreifern die vollständige Fernsteuerung des Systems. Ihre Funktionen umfassen:
* Diebstahl von Dateien und sensiblen Dokumenten
* Aufzeichnung von Tastatureingaben (Keylogging)
* Ausführung weiterer Schadsoftware
* Dauerhafte Einnistung zur langfristigen Überwachung
Google thematisiert broderes Problem
Die EndRAT-Kampagne ist kein Einzelfall. Google thematisierte diesen besorgniserregenden Trend kürzlich in einem eigenen Sicherheitsbericht. Neben manipulierten Tracking-Links beobachten Experten eine Zunahme von „ClickFix“-Kampagnen.
Dabei locken Angreifer mit KI-generierten Inhalten und manipulierten Werbeanzeigen auf gefälschte „Fehlerbehebungs“-Seiten. Durch Social-Engineering tricksen sie Nutzer aus, manuell Schadcode in ihre Systeme zu kopieren.
Das Problem: Viele Unternehmen müssen die ad.doubleclick.net-Domäne in ihren Firewalls freischalten, um den Marketing-Betrieb nicht zu stören. Genau diese Notwendigkeit machen sich die Angreifer zunutze.
Wie können sich Unternehmen schützen?
Bei dieser hohen Täuschungsqualität reichen herkömmliche Spam-Filter nicht aus. Experten raten zu einer kombinierten Abwehrstrategie.
- URL-Inspektion: Links in E-Mails – selbst von Google-Domänen – nicht blind vertrauen. Moderne Sicherheitslösungen können das endgültige Ziel einer Weiterleitung prüfen, bevor der Nutzer es erreicht.
- Skripte deaktivieren: Das Ausführen von LNK-Dateien oder unbekannten Skripten aus ZIP-Archiven sollte systemseitig unterbunden oder streng überwacht werden.
- Auf Verhalten achten: Da EndRAT oft nur im Arbeitsspeicher arbeitet, sind EDR-Systeme (Endpoint Detection and Response) essenziell. Sie überwachen verdächtiges Verhalten, nicht nur Dateisignaturen.
- Mitarbeiter schulen: Sensibilisieren Sie Ihre Belegschaft: Auch legitime Infrastrukturen können missbraucht werden. Eine angebliche Bank-E-Mail, die über einen Werbe-Tracker leitet, ist hochgradig verdächtig.
Aktuelle Angriffe wie „Operation Poseidon“ zeigen, wie schnell Angreifer neue Tricks einsetzen – genau hier setzt ein kostenloser Leitfaden an, der aktuelle Cyber-Security-Trends und konkrete Schutzmaßnahmen für Unternehmen zusammenfasst. Er erklärt praxisnah, wie Sie URL-Inspektion, Phishing-Abwehr und EDR sinnvoll kombinieren, damit Ihre IT-Verantwortlichen sofort handlungsfähig sind. Jetzt kostenlosen Cyber-Security-Guide herunterladen
Die Vermischung von legitimer IT-Infrastruktur mit Angriffswerkzeugen erschwert die Abwehr erheblich. Bis Werbenetzwerke wie Google strengere Validierungsmechanismen einführen, bleibt die menschliche Aufmerksamkeit – unterstützt durch moderne Sicherheitssoftware – die wichtigste Verteidigungslinie.
