Malvertising-Kampagnen

Kriminelle verteilen mittels Online-Werbung Malware

| Autor / Redakteur: Stephan Fritsche / Peter Schmitz

Cyberkriminelle missbrauchen beim Malvertising die digitale Infrastruktur der Online-Werbebranche um bei Anwendern Malware zu platzieren.
Cyberkriminelle missbrauchen beim Malvertising die digitale Infrastruktur der Online-Werbebranche um bei Anwendern Malware zu platzieren. (Bild: Check Point)

Durch das Internet stehen viele Informationen scheinbar gratis zu Verfügung. Im Gegensatz zu klassischen Medien gibt es kaum direkte Bezahlung mehr. Aber auch im Onlinezeitalter ist Content meist nicht kostenlos, sondern wird oft durch Werbeeinnahmen gegenfinanziert. Jetzt haben Cyberkriminelle Wege entdeckt, um die Infrastruktur der Online-Werbebranche zur Verbreitung von Malware zu nutzen.

Im Rahmen einer Untersuchung haben Sicherheitsanalysten die digitale Infrastruktur der Online-Werbebranche sich näher angeschaut und Missbrauch durch Cyberkriminelle entdeckt. Bedrohungsakteure nutzen beim sogenannten Malvertising die Vermarktungsmechanismen von Onlinereklame, um Schadcode bei Millionen von Usern zu verbreiten.

Die Vermarktung von Onlinewerbung

Um den Exploit zu verstehen, muss man kurz in die wichtigsten Elemente des Werbevertriebs gehen. Vereinfacht kann die heute Online-Werbebranche in vier Akteuren eingeteilt werden: Publisher, beispielsweise Homepage oder Portalbetreiber, die Werbefläche im Angebot haben. Sie verkaufen diese an Ad-Networks (Werbenetzwerke). Deren Angebot nutzen wiederum Reseller, um daraus Angebote für Werbekunden (Advertiser) zu schnüren. Sie stehen am anderen Ende des Vertriebskanals mit ihren Produkte oder Inhalten, die sie bewerben möchten.

Bei der entdeckten Malvertising-Kampagne tarnten sich Cyberkriminelle als Publisher („Master134“ genannt) und nutzen die mit seriösen Ad-Networks & Resellern aufgebauten Partnerschaften zur Verbreitung von Malware wie Banking Trojaner, Ransomware und Bots. Genauer betrachtet heißt das, dass Master134 über 10.000 Word-Press-Seiten gehackt, den Datenverkehr davon verkauft hat. Ad-Plattform oder Reseller verkauften die Werbeflächen dann wiederum an den meistbietenden Advertiser. Dieser Werber wiederum verfolgte aber ebenfalls kriminelle Absichten und wollte Malware über versuchten Werbeflächen verbreiten.

Cyberkriminelle nutzen Online-Werbung zu ihrem Vorteil, indem sie automatisierte Abläufe der Angebotsplattformen von Ad-Networks und Resellern für ihre Zwecke eingespannt haben. Beim Kauf Werbefläche überbieten sie gezielt große Unternehmen wie Nike oder Coca Cola. So wird es möglich, dass das Ad-Network die mit Malware beladene Werbung als Käufer auswählt und diese wiederum über die gehackten Seiten angezeigt wird.

Die Publisher werden für ihre Werbefläche auf einer maliziösen Homepage bezahlt. Zudem füllen die Advertiser die Anzeigen ebenfalls mit Schadcode und können durch die resultierenden Cyberattacken Profit schlagen und den gesamten Prozess finanzieren. Ad-Networks und Reseller verdienen an den Attacken mit und machen sich unfreiwillig zu Mittätern. Darüber hinaus können die Malvertiser (als Werbekunden getarnte Cyberkriminelle) sogar ihren ROI (Return of Investment) der Ausgaben mit den Einnahmen, die sie durch die Lösegeldzahlungen der infizierten Nutzer erlangen, ins Verhältnis setzen.

Werbeblocker liefern nur bedingten Schutz

Als Konsequenz daraus installierten die Nutzer Werbeblocker, die die mit Malware infizierten Werbeanzeigen ausblenden sollen. Der Anstieg stagnierte jedoch schnell wieder, da legitime Publisher dazu übergegangen sind, den Zugriff auf Seiten zu sperren, wenn Nutzer einen Werbeblocker installiert hatten. Schließlich ist dies in der Regel die Einkommensgrundlage.

Google nahm Anfang diesen Jahres die Dinge selbst in die Hand und entwickelte zusammen mit der Coalition for Better Ads einen Werbeblocker auf Google Chrome, der Werbung von Seiten, deren Qualität nicht den Branchenstandards entspricht automatisch entfernt. Problem dabei: der Google Werbeblocker beschäftig sich mehr mit unerwünschter Werbung als mit Malvertising.

Durch die Struktur und den Vertriebsmodus der Online-Werbung gibt es zu viele Varianten, als dass Google oder Ad-Networks selbst oder auch ihre Reseller in der Lage wären, jede infizierte Werbeanzeige zu entdecken. Wie bereits erwähnt, nutzen Advertiser Real-Time-Bidding-Plattformen von Resellern und Ad-Networks, um in Echtzeit Gebote für den Erwerb von Werbeflächen abzugeben. Diese Werbeanzeigen enthalten benutzerdefinierten JavaScript-Code, der auf den Browsern des Nutzers läuft. Der genaue Inhalt, den die Nutzer sehen, hängt unter anderem davon ab, wer sie sind, wo sie sind und welche Art von Gerät sie nutzen. Das macht es sowohl für Publisher als auch für Ad-Networks fast unmöglich, jede Anzeigenversion schlüssig auf bösartigen Inhalt zu prüfen.

Fazit

In den letzten zehn Jahren hat sich Werbung, die auf seriösen und oft beliebten Webseiten angezeigt wird, als ein Schlüsselweg erwiesen, über den Kriminelle nichts ahnende Computer-Nutzer infizieren können. Die Untersuchung zeigt, dass die angewandten Anzeigen-Prüfmethoden die von der Online-Werbebranche genutzt werden, nicht ausreichen. Tatsächlich scheint es eher so, dass in den Prozess involvierte Unternehmen bestenfalls manipuliert werden, im schlimmsten Fall sogar das Voranschreiten dieser Angriffe begünstigen.

Egal wie hoch die Aufmerksamkeit der Mitarbeiter oder Privatnutzer ist, aufgrund der Komplexität der Malware reicht diese nicht aus. Angriffe dieser Art richten sich eher gegen das Endgerät als gegen das Netzwerk, weshalb Organisationen einen mehrschichtigen Cybersicherheitsansatz verfolgen sollten, der sowohl bekannte Bedrohungen als auch unbekannte Malware und Zero-Day-Bedrohungen wie Malvertising erkennt und erfolgreich abwehrt.

Über den Autor: Stephan Fritsche ist CloudGuard Sales Manager IaaS Central Europe bei Check Point Software Technologies.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45560394 / Malware)