Malvertising Neue Analyse enthüllt die komplexen Strukturen von Vane Viper

Anbieter zum Thema

Infoblox Germany GmbH

Fsas Technologies GmbH

FTAPI Software GmbH

Erst jahrelange DNS-Analysen enthüllen die komplexen Strukturen hinter über 60.000 Domains. Vane Viper nutzt Werbeplattformen wie PropellerAds für Malware, Phishing und gefälschte Downloads.

Das Threat-Intelligence-Team des Netzwerkanalyse-Spezialisten Infoblox hat mit „Vane Viper“ einen Bedrohungsakteur identifiziert, der seit 2015 die Infrastruktur der Werbebranche für kriminelle Aktivitäten missbraucht. Vane Viper ist seit fast zehn Jahren aktiv, die Struktur konnte jedoch erst durch jahrelange DNS-Analysen und aktive Interaktion mit den Plattformen offengelegt werden.

Infostealer SYS01

Malvertising-Kampagne zielt auf Facebook, Office 365 und Adobe

Laut Infoblox liegt die Gefahr darin, dass sich die Gruppe in der öffentlichen Werbeindustrie bewegt und damit Angriffe aus vermeintlich seriösen Quellen initiiert. Das Ziel der Akteure ist breit angelegt: Malware-Verteilung, darunter Banking-Trojaner und Stealer, Werbebetrug, Phishing-Kampagnen, gefälschte Software-Downloads und Investment-Plattformen.

Malvertising

Vietnamesische Hacker faken Werbeanzeigen, um Daten zu stehlen

Wie konnte Vane Viper so lange unbemerkt bleiben?

Die Analyse zeigt, dass Vane Viper komplexe Firmenstrukturen nutzt, um die eigentlichen Absichten zu verschleiern. Infoblox dokumentiert infrastrukturelle Überlappungen und frühere Fälle, in denen dieselben Infrastrukturen in großen Ad-Fraud-Operationen, wie dem Methbot-Betrug verwendet wurden. Methbot ist eine groß angelegte, von einer russischen Gruppe betriebene Ad-Fraud-Operation, bei der Cyberkriminelle zwischen 2015 und 2016 durch ein Botnetz Milliarden gefälschter Video-Werbeaufrufe erzeugte, also Aufrufe, die nicht von echten Menschen, sondern von automatisierten Programmen kamen. So verursachten die Akteure Schäden in dreistelliger Millionenhöhe, bevor die Betreiber 2018 durch US-Behörden festgenommen wurden. Außerdem würden Verbindungen zur XBT Holdings, dem Unternehmen hinter dem Hosting-Anbieter Webzilla, bestehen.

Wer tatsächlich hinter den Aktivitäten steckt, ist unklar. Vermutungen reichen von verurteilten Betrügern bis zu russischen Oligarchen. Die Untersuchung zeigt, dass Cyberkriminelle zunehmend die Infrastruktur der Werbebranche selbst betreiben, anstatt bestehende Plattformen zu missbrauchen. Im Falle von Vane Viper positioniert sich die Gruppe als angeblicher Dienstleister und betreibt selbst Werbeplattformen, die laut Infoblox für kriminelle Zwecke eingesetzt werden. Über kompromittierte Webseiten und irreführende Anzeigen gelangen Nutzer auf infizierte Inhalte. Unter dem Deckmantel des in Zypern ansässigen Werbeunternehmens AdTech Holding und seiner Tochter PropellerAds verbreitet Vane Viper Malware über Werbenetzwerke.

Vane Viper betreibt über 60.000 Domains

In Tests hat PropellerAds Malware direkt an Infoblox-Forscher ausgeliefert. DNS-Datenanalysen belegen, dass Vane Viper in etwa 50 Prozent der Kundennetzwerke von Infoblox sichtbar ist. Allein im vergangenen Jahr erzeugte das Netzwerk mehr als eine Billion DNS-Anfragen, was für ein großes Netzwerk spricht. Dieses Netzwerk setzt ein eigenes Traffic Distribution System (TDS) ein, das Opfer über kompromittierte oder nachgeahmte Webseiten sowie Push-Benachrichtigungen in eine Angriffs-Kette schleust.

Dabei spielt die gezielte Auslieferung eine zentrale Rolle: Während unbeteiligte Nutzer legitime Inhalte wie Google-Suchergebnisse sehen, erhalten Zielprofile Schadsoftware. So wurde im Rahmen der Untersuchung ein Trojaner als manipulierte Android-APK (Android Package Kit) auf ein Testgerät ausgeliefert. Weitere Techniken umfassen gefälschte Download-Seiten, manipulierte Browser-Erweiterungen, Redirect-Ketten über Bitly-Links und den Missbrauch von Push-Notification-Gates, die mit Fingerprinting, Cloaking und „Fake History“-Einträgen die Nutzer auf der Seite festhalten.

Neue Tarntechniken in Phishing-Kampagnen

Wie Angreifer mit Cloaking Phishing-Erkennung aushebeln

Auffällig ist die direkte Verknüpfung zu PropellerAds-Infrastruktur: Die Vane-Viper-Domains sind auf IP-Bereiche registriert, die PropellerAds selbst verwaltet, was laut Infoblox die Nähe zwischen AdTech Holding und der Malware-Verbreitung untermauert.

Insgesamt umfasst das Netzwerk mehr als 60.000 Domains, einige über mehr als 1.200 Tage hinweg aktiv. Damit wächst die Gefahr für Unternehmen, da die Angriffe aus vermeintlich seriösen Quellen stammen. Infoblox zieht Parallelen zu VexTrio, einem ähnlich aufgestellten Netzwerk.

Größter bisher bekannten bösartigen Traffic-Broker entlarvt

Funktionsweise des kriminellen Affiliate-Netzwerks VexTrio enttarnt

Wie können sich Unternehmen schützen?

Der Infoblox-Report empfiehlt Unternehmen, DNS-Schutzmechanismen zu implementieren. Dadurch können bekannte und potenziell schädliche Domains zu blockieren. Unternehmen sollten auch den Netzwerkverkehr kontinuierlich überwachen, um Auffälligkeiten frühzeitig zu erkennen. Und zwar insbesondere bei Interaktionen mit Werbeplattformen, die für Malvertising genutzt werden könnten. Zusätzlich sollten bestehende Partnerbeziehungen und eingesetzte Werbenetzwerke, etwa PropellerAds, regelmäßig überprüft werden, um Risiken frühzeitig zu erkennen.

Link-Scanning-Sicherheitslösungen

Passives Fingerprinting ermöglicht schadhafte Umgehungsstrategien

(ID:50576983)