Eine raffinierte Cyberkampagne nutzt manipulierte Suchergebnisse, um gezielt chinesischsprachige Windows-Nutzer mit gefährlicher Malware zu infizieren. Sicherheitsforscher warnen vor einer neuen Dimension des SEO-Poisoning, bei der Kriminelle falsche Webseiten für beliebte Software erstellen und diese durch Suchmaschinen-Manipulation an die Spitze der Suchergebnisse bringen.

Die von FortiGuard Labs im August 2025 entdeckte Kampagne zeigt, wie Cyberkriminelle das Vertrauen in Top-Suchergebnisse ausnutzen. Statt auf klassische Phishing-E-Mails zu setzen, positionieren die Angreifer ihre Schadsoftware-Seiten gezielt bei Suchanfragen nach DeepL Translator, Google Chrome, Telegram und WhatsApp weit oben in den Ergebnissen.

Gefälschte Webseiten täuschen Millionen von Nutzern

Das Vorgehen ist perfide durchdacht: Die Kriminellen registrieren Domains, die den echten Softwareanbietern zum Verwechseln ähnlich sehen. Durch geschickte Zeichenvertauschungen entstehen URLs, die auf den ersten Blick legitim wirken. Diese falschen Webseiten werden dann mit Keywords vollgepackt und durch SEO-Plugins künstlich in den Suchmaschinen-Rankings nach oben gepusht.

Landet ein Nutzer auf einer dieser Köder-Seiten, startet eine JavaScript-Datei namens "nice.js" einen mehrstufigen Download-Prozess. Das Skript nutzt eine Kette von Weiterleitungen und verschleiert so den eigentlichen Ursprung der Schadsoftware. Am Ende erhält der ahnungslose Nutzer einen Installer, der die gewünschte Software mit versteckten Schaddateien bündelt.
Anzeige: Apropos manipulierte Installer: Halten Sie für den Ernstfall einen startfähigen Windows‑Stick bereit. Damit können Sie ein infiziertes System retten, Windows 11 sauber neu aufsetzen oder wichtige Reparaturen durchführen – ohne teuren Service. Ein kostenloser Schritt‑für‑Schritt‑Ratgeber zeigt genau, wie Sie den USB‑Boot‑Stick erstellen und richtig einsetzen. Jetzt den Gratis‑Report „Windows‑11 Boot‑Stick erstellen“ sichern

HiddenGh0st und Winos: Vollzugriff auf fremde Computer

Die Kampagne verbreitet hauptsächlich zwei Malware-Familien: HiddenGh0st und Winos – eine Variante des berüchtigten Gh0st-Trojaners. Diese Remote-Access-Trojaner verschaffen Angreifern nahezu uneingeschränkten Zugriff auf infizierte Windows-Systeme.

Besonders tückisch: Der Winos-Trojaner prüft zunächst, ob er in einer Testumgebung läuft, und bricht den Angriff ab, falls er eine Analyse vermutet. Gelingt die Installation, fordert er Administratorrechte an, deaktiviert Sicherheitsmaßnahmen und überwacht gezielt Telegram-Aktivitäten sowie Bildschirminhalte.

Sicherheitsexperten haben den Winos-Trojaner bereits der Cyberkriminalitäts-Gruppe Silver Fox zugeordnet, die auch unter dem Namen Valley Thief bekannt ist.

GitHub und andere vertrauenswürdige Plattformen als Köder

Besonders raffiniert: Die Angreifer missbrauchen vertrauenswürdige Dienste wie GitHub Pages, um ihre Phishing-Inhalte zu hosten. Diese Taktik verleiht den falschen Webseiten einen Anschein von Legitimität und erschwert es Nutzern wie Suchmaschinen, die Seiten als gefährlich einzustufen.

SEO-Poisoning ist zwar nicht neu, aber die aktuelle Kampagne zeigt eine besorgniserregende Weiterentwicklung der Methode. Bereits bekannte Malware-Netzwerke wie Gootloader und SolarMarker nutzen ähnliche Techniken, um Nutzer über manipulierte Suchergebnisse zu täuschen.

Experten warnen vor wachsender Bedrohung

"SEO-Poisoning funktioniert erschreckend gut dabei, Nutzer auf mit Malware verseuchte Webseiten zu locken", warnt Chad Cragle, Sicherheitschef bei Deepwatch. "Das Problem ist die Skalierbarkeit – Angreifer können so massenhaft und ohne individuellen Kontakt potenzielle Opfer erreichen."

Die Zahlen geben den Experten recht: Aktuelle Berichte zeigen einen deutlichen Anstieg von Malware-Erkennungen, die auf SEO-Poisoning zurückgehen.

Wie können sich Nutzer schützen?

Sicherheitsexperten raten zu erhöhter Wachsamkeit beim Surfen. Entscheidend ist es, Suchergebnisse kritisch zu hinterfragen und URLs vor dem Klicken genau zu prüfen. Software sollte ausschließlich von offiziellen Herstellerseiten heruntergeladen werden.

Für Unternehmen empfehlen die Forscher DNS-Filter gegen bekannte Schaddomains und strenge Richtlinien für Software-Downloads. Mehrsprachige Sicherheitsschulungen sind besonders für international tätige Organisationen unverzichtbar.

Die erfolgreiche Kampagne macht deutlich: Selbst eine harmlose Google-Suche kann zum Einfallstor für schwerwiegende Cyberattacken werden.