Sicherheit + Datenschutz 11. Juni 2019 1 Min Lesezeit

Malware tauscht die Google-Suchergebnisse gegen Bing-Ergebnisse

Geschrieben von
Roger Klein
Google Bing Logos

App Stores, Sicherheitsmassnahmen und Restriktionen machen es Malware zunehmend schwer, auf den Rechner oder das Smartphone zu gelangen. Wenn es trotzdem klappt, entsteht häufig grosser Schaden – für Nutzende oder immer öfter auch für Werbenetzwerke. Jetzt ist eine neue Malware für macOS aufgetaucht, die sich bislang nur durch ein kurioses Verhalten zeigt: Sie tauscht Google-Suchergebnisse stillschweigend gegen Bing-Ergebnisse aus.

Malware kann auf viele Arten Schaden anrichten: Geräte unbrauchbar machen, Daten löschen, Lösegeldzahlungen erpressen oder Zugangsdaten abgreifen. Das ist allerdings aufwendig und wenig lukrativ. Deswegen konzentrieren sich viele Entwickler darauf, eigene Werbebanner einzuschleusen – in erfolgreichen Fällen mehrere Millionen Dollar pro Monat.

Die Sicherheitsforscher von AiroAV haben nun eine neue macOS-Malware entdeckt, deren Verhalten zunächst rätselhaft wirkt: Sie nistet sich über ein aufwendiges Prozedere im Safari-Browser ein und manipuliert die Google-Suchergebnisse. Dabei werden keine verdächtigen Links eingefügt – die Ergebnisse werden einfach durch jene von Bing ersetzt. Optische Anpassungen sorgen dafür, dass das kaum auffällt.

Technisch läuft das über einen iframe: Die Bing-Suchergebnisse werden direkt in die Google-Websuche eingebunden und ersetzen dort die eigentlichen Algorithmus-Ergebnisse. Wer sehr genau hinschaut, merkt es vielleicht an Qualitätsunterschieden oder fehlenden Google-Elementen – aber ohne gezielten Vergleich bleibt der Austausch unsichtbar.

Was die Entwickler damit bezwecken, ist unklar. Vermutlich ist es ein Test dafür, wie sich künftig andere Inhalte – etwa Links auf Werbeseiten – einschleusen lassen. AiroAV hat bisher keine Hinweise gefunden, dass neben Bing-Ergebnissen weitere Inhalte eingefügt wurden. Um den Austausch überhaupt zu ermöglichen, greift sich die Malware die macOS-Zugangsdaten und installiert ein eigenes Root-Zertifikat.

Betroffen ist derzeit nur Safari unter macOS – die Methode dürfte aber auf jedem anderen Betriebssystem genauso funktionieren. Apple untersucht bereits, wie sich solche Angriffe künftig verhindern lassen.

Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-10-27 Emotet – der klassische Ablauf eines Trojaners 2020-06-19 Anti-Erpressungstrojaner Tool „STOP Djvu“ ist in Wahrheit selbst Ransomware 2020-11-17 Cloud Speicher – einzige Lösung für übermässiges Datenwachstum?

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG