Manipulierte Google-Suchergebnisse: Nutzer quer über den Globus betroffen
ID: 2195464

(ots) - Wer bei Google sucht, will seriöse Ergebnisse. Doch eine neue Hackergruppe macht sich die Suchmaschine zunutze, um manipulierte Websites nach oben zu bringen. Forscher des europäischen IT-Sicherheitsherstellers ESET haben die Kampagne aufgedeckt und die Angreifer "GhostRedirector" getauft. Die Gruppe infiziert Windows-Server weltweit, missbraucht sie für SEO-Betrug und bleibt dabei monatelang unentdeckt.
Die Masche der Gruppe: Infiltration von Windows-Servern und Suchmaschinenbetrug. Sie ist vor allem in Brasilien, Thailand, Vietnam und den USA aktiv. Die Hacker setzen zwei bislang undokumentierte Eigenentwicklungen ein: "Rungan" und "Gamshen". Mit diesen Werkzeugen manipulieren sie Suchergebnisse, um zwielichtige Websites im Google-Ranking nach oben zu bringen. ESET ordnet GhostRedirector als China-nah ein.
"GhostRedirector kombiniert ausgefeilte Techniken mit bekannten Exploits. Das zeigt: Die Gruppe hat Ressourcen und Know-how", sagt ESET Forscher Fernando Tavella, der die Masche entdeckt hat. "Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihre Server für solchen SEO-Betrug missbraucht wird, leidet ihre eigene Reichweite - und damit letztendlich ihr Umsatz."
Als Trittbrettfahrer zu einem besseren Google-Ranking
Die Angriffe folgen einem klaren Ablauf. Der Erstzugriff erfolgt wahrscheinlich über eine Schwachstelle, mutmaßlich per SQL-Injection. Dabei handelt es sich um eine beliebte Hacking-Technik, die Sicherheitslücken in SQL-Datenbanken ausnutzt. Danach laden die Täter weitere Komponenten nach. Für die Rechteausweitung nutzen die bekannten Exploits EfsPotato und BadPotato, legen Administratorkonten an und sichern sich zusätzlichen Fernzugriff. So bleibt der Zugang erhalten, selbst falls einzelne Werkzeuge entfernt werden. Für den Angriff nutzen die Hacker zudem diese beiden selbstentwickelten Werkzeuge:
- Rungan ist eine unauffällige Hintertür für Windows-Server. Sie lauscht auf eine feste, versteckte Webadresse und nimmt darüber einfache HTTP-Befehle entgegen, die sie direkt auf dem System ausführt - vom Anlegen neuer Administrator-Konten bis zur Ausführung beliebiger Kommandos. Die Schnittstelle registriert sich am Betriebssystem vorbei am IIS-Webserver, sodass sie in gängigen Logs leicht übersehen wird. Die Steuerung läuft im Klartext.
- Gamshen ist ein schadhaftes Internet Information Services (IIS)-Modul, also eine Erweiterung für Server. Es manipuliert gezielt die Google-Suche, indem es bei einer Abfrage des Googlebot die Antwort des Servers manipuliert, um das Ranking anderer Websites zu verbessern. Hierdurch erscheinen diese Websites zu Lasten der betroffenen Seiten weiter oben in den Suchergebnissen.
Der Googlebot ist Googles automatisches Programm, das Websites besucht und deren Inhalte für die Suchmaschine indexiert. So hält Google seine Trefferlisten aktuell.
"Gamshen manipuliert ausschließlich Anfragen des Googlebot, um Suchergebnisse zugunsten bestimmter Seiten positiv zu beeinflussen, z. B. von Glücksspielangeboten. Reguläre Besucher sehen die normale Website, eine direkte Gefahr besteht für sie also nicht. Mit dieser Hacking-Technik schaden die Cyberkriminellen in erster Linie Webseitenbetreibern", so Tavella weiter.
Zielregion: weltweit, Branche: egal
ESET beobachtete Aktivitäten von Dezember 2024 bis April 2025 in der Telemetrie. Eine internetweite Suche im Juni 2025 deckte weitere Opfer auf. Viele US-Server scheinen angemietet und Firmen in den Hauptbetroffenenländern zugeordnet zu sein. Ein Fokus auf einzelne Branchen ist nicht erkennbar; betroffen sind unter anderem Bildung, Gesundheit, Versicherung, Transport, Technologie und Handel. ESET hat identifizierte Betreiber informiert.
"GhostRedirector ist eine äußerst ausdauernde Hackergruppe und beweist hohe Widerstandsfähigkeit. Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sich die Gruppe langfristig Zugriff auf die kompromittierte Infrastruktur", schließt Tavella ab.
Weitere Informationen gibt es in ESETs aktuellem Blogpost (https://www.welivesecurity.com/de/eset-research/neue-hacker-gruppe-ghostredirector-vergiftet-windows-server) auf WeLiveSecurity.com.
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuellWeitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: ots
Datum: 04.09.2025 - 11:15 Uhr
Sprache: Deutsch
News-ID 2195464
Anzahl Zeichen: 5025
Kontakt-Informationen:
Ansprechpartner: ots
Stadt:
Jena
Kategorie:
Internet
Diese Pressemitteilung wurde bisher 277 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Manipulierte Google-Suchergebnisse: Nutzer quer über den Globus betroffen"
steht unter der journalistisch-redaktionellen Verantwortung von
ESET Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
ESET-Forscher entschlüsseln über 400 Nachrichten der Gruppe "Webworm" und entdecken neue Tarntechniken für Cyberangriffe Sicherheitsforscher von ESET haben neue Angriffstechniken der China-nahen APT-Gruppe "Webworm" (https://www.welivesecurity.com/de/eset-research/hacker-grup
ESET warnt vor neuer KI-Angriffsfläche und investiert 40 Millionen Euro in "AI Security" ...
Europäischer Security-Hersteller baut Forschung und KI-Abwehr massiv aus Der IT-Sicherheitshersteller ESET investiert 40 Millionen Euro in den Ausbau KI-gestützter Cyberabwehr. Das verkündete das Unternehmen auf der Sicherheitskonferenz ESET World 2026 (https://esetworld.com/) in Berlin. Der eur
Trotz Investionen: Viele Krankenhäuser hinken bei NIS2 hinterher ...
Viele Krankenhäuser investieren in ihre IT-Sicherheit. Bei der Umsetzung der neuen EU-Richtlinie NIS2 bleiben sie dennoch zurück. Das zeigt eine aktuelle Umfrage des IT-Sicherheitsherstellers ESET unter Entscheidern im deutschen Gesundheitswesen. Rund 36 Prozent der befragten Kliniken geben an, in
Weitere Mitteilungen von ESET Deutschland GmbH
Digitaler Stillstand: Marco Schröder von der 3 Plus Solutions GmbH & Co. KG zeigt, warum der Mittelstand jetzt handeln muss ...
Der Mittelstand steht vor der Wahl: stehen bleiben oder die Chancen der Digitalisierung aktiv nutzen. Mit einem integrierten Ansatz aus IT, Marketing und Neurowissenschaft zeigt Marco Schröder, wie Unternehmen ihre Prozesse modernisieren, Innovation fördern und sich nachhaltig für die digitale Zu
David Casselmann von der Sauberca Service GmbH: Gebäudereinigung und Hausmeisterdienste aus einer Hand – warum integrierte Services die bessere Wahl sind ...
Ob Geschäftsführer, Facility-Manager, Immobilienverwalter oder Objektleiter – sie alle wünschen sich vor allem eines: verlässliche Partner für alle Aufgaben rund um Reinigung und Hausmeisterdienste. Doch in der Praxis sind oft zahlreiche Dienstleister beteiligt, Kommunikationsprobleme vorprog
G+D Ventures führt Series-A-Finanzierungsrunde an und unterstützt Expansion des Collective-Intelligence-Pioniers Roseman Labs ...
4. September 2025 – Der europäische TrustTech-Investor G+D Ventures leitet eine Series-A-Finanzierungsrunde in Höhe von fünf Millionen Euro an, um die Expansion von Roseman Labs zu unterstützen. Mit der Finanzierung plant Roseman Labs die eigene Trusted-Collective-Intelligence-Plattform, die b
Offizielle Stellungnahme | Bayshore Global Management ...
In letzter Zeit sind im Internet unbegründete Gerüchte über Bayshore Global Management aufgetaucht. Um Missverständnissen und Fehlinformationen vorzubeugen, geben wir hiermit eine offizielle Erklärung ab und fügen überprüfbare Dokumente bei. 1. Unternehmensregistrierung und rechtliche Grund




