Die Bitdefender Labs warnen vor einer großangelegten Malvertising-Kampagne auf Facebook, die das große Interesse an neuen KI-Diensten wie Chat GPT, Sora AI, DALL-E oder Midjourney nutzt, um Nutzer mit Malware zu infizieren und ihre Daten zu stehlen. Die Kampagne der Cyberkriminellen läuft bereits seit circa einem Jahr und ist derzeit weiterhin aktiv.
Im Rahmen der Kampagne übernehmen die Cyberkriminellen bestehende Facebook-Konten und ändern sie so ab, dass sie den Anschein erwecken, dass die Seite von einem legitimen KI-gestützten Software-Unternehmen betrieben wird. Daraufhin nutzen die Cyberkriminellen das Werbenetzwerk von Meta, um Anzeigen für die kompromittierten Profile zu schalten.
Die bösartigen Seiten auf Facebook sind so konzipiert, dass sie Nutzer dazu verleiten, vermeintlich offizielle Desktop-Versionen beliebter KI-Software herunterzuladen. Die Cyberkriminellen, die hinter diesen Kampagnen stehen, ändern und passen die bösartigen Nutzerdaten regelmäßig an, um eine Erkennung durch Sicherheitssoftware zu vermeiden.
Die Links leiten Benutzer zu bösartigen Webseiten, die eine Reihe von aufdringlichen „Stealern“ herunterladen, um vertrauliche Informationen von kompromittierten Systemen abzugreifen, darunter Anmeldedaten, Daten zum automatischen Ausfüllen von Formularen, Kreditkarteninformationen und sogar Kryptowährungsdaten.
Malvertising-Kampagnen haben über Facebook enorme Reichweite
Die von den Bitdefender Labs analysierten Kampagnen verwenden bösartige Anzeigen, die Links zu ausführbaren Dateien enthalten, die Rilide, Vidar, IceRAT und Nova Stealers ausführen. Die gesamte Schadsoftware wird oft als Malware-as-a-Service von Bedrohungsakteuren in speziellen Foren und Kanälen angeboten.
Malvertising-Kampagnen haben über das gesponserte Anzeigensystem von Meta eine sehr große Reichweite und zielten aktiv auf europäische Nutzer aus Deutschland, Polen, Italien, Frankreich, Belgien, Spanien, den Niederlanden, Rumänien, Schweden und anderen Ländern ab.
Durch die Nutzung von Facebook erreicht die Kampagne eine sehr hohe Reichweite: Die Facebook-Seite „Mid-Journey AI“ hatte 1,2 Millionen Follower, bis sie am 8. März 2024 vom Netz genommen wurde. Anzeigen, die sich beispielsweise an europäische Männer im Alter zwischen 22 und 55 Jahren richten, können eine Reichweite von 500.000 haben. Auch wenn einige kompromittierte Facebook-Seiten bereits von Facebook entfernt wurden, ist die Kampagne der Kriminellen weiterhin aktiv.
Bitdefender rät Facebook-Nutzern, die ähnlichen Seiten folgen, dringend, aufmerksam und vorsichtig zu sein und Anzeigen zu meiden, die auf eine andere Website außerhalb Facebooks leiten oder einen sofortigen Download vorschlagen.
So lassen sich Infektionen mit Info-Stealern vermeiden
Hier zusammengefasst die wichtigsten Tipps und Maßnahmen, um sich vor bösartigen Malware-Kampagnen zu schützen:
- Nutzer sollten sich an eine gute Cyber-Hygiene halten und generell nicht auf verdächtige Links oder Pop-ups klicken. Auch sollte man niemals Software aus unsicheren oder unbekannten Quellen, sondern nur von offiziellen Shops und Websites herunterladen.
- Nutzer sollten eine vertrauenswürdige Sicherheitslösung verwenden, die von Viren über Trojaner bis hin zu Ransomware schützt.
- Man sollte eine Sicherheitslösung mit einem mehrschichtigen Sicherheitsansatz wählen. Eine umfassende Sicherheitslösung mit mehrschichtigen Schutzfunktionen erkennt nicht nur Malware, sondern verhindert auch, dass der Nutzer auf einer bösartigen Webseite landet und stoppt jeden aufdringlichen Download, der Sicherheit und Privatsphäre beeinträchtigen kann.
- Software und Betriebssysteme sollten auf dem neuesten Stand gehalten werden. Die Vernachlässigung von Updates und Patches kann die Sicherheit von Geräten erheblich beeinträchtigen. Manche Sicherheitslösungen bieten die Durchführung einer vollständigen Schwachstellenanalyse mit nur einem Klick. So kann man nach veralteter und anfälliger Software, fehlenden Sicherheits-Patches oder unsicheren Systemeinstellungen suchen – und die Anfälligkeiten sofort beheben.
- Nutzer sollten die Zwei-Faktor-Authentifizierung aktivieren, um zu verhindern, dass sich böswillige Akteure Zugang zu ihren Online-Konten verschaffen, um Daten und Geld zu stehlen.