Malvertising

Wenn sich Malware im Ad-Framework verbirgt

| Autor / Redakteur: Dietmar Schnabel / Stephan Augsten

Bösartige Inhalte lassen sich am eifnachsten über Werbe-Frameworks in eigentlich legitime Webseiten einschleusen.
Bösartige Inhalte lassen sich am eifnachsten über Werbe-Frameworks in eigentlich legitime Webseiten einschleusen. (Bild: Archiv)

Malvertising-Attacken treffen immer öfter populäre News- und Kommerz-Webseiten wie die der BBC oder der New York Times. Um diese Form der Malware-Verbreitung zu verstehen, muss man sich zunächst grundlegende Schadcode-Eigenschaften und -Methoden ins Gedächtnis rufen.

Eine der bekanntesten Methoden zur Verbreitung von Malware ist die Infizierung von Webseiten und die Ausführung von Drive-by-Angriffen. Besucht ein Nutzer eine infizierte Seite, wird ein Exploit-Kit aktiviert. Sobald es aktiviert ist, prüft es, ob die Maschine vor einem oder mehreren Exploits, die das Kit enthält, geschützt ist.

Ist das nicht der Fall, nutzt es die Schwachstelle aus und installiert bösartige Software auf dem Gerät des Nutzers. Da es sich hierbei um eine gängige Bedrohung handelt, rüsten die meisten Webseiten ihre Systeme auf, um sich selbst und ihre Besucher vor einer Infektion zu schützen.

Cyber-Kriminelle umgehen gut geschützte Webseiten, indem sie die Server infizieren, welche die Webseite mit Werbung versorgen. Diese Form des Angriffs wird Malvertising genannt und ist für Angreifer, die mit ihrer Malware ein breites Publikum treffen wollen, äußerst effektiv: Je beliebter die Webseite, desto größer der Effekt.

Tendenz steigend

Bei Malvertising handelt es sich zwar um keine neue Angriffsform, doch ist sie erst nach einigen Ereignissen in jüngster Zeit in die Schlagzeilen geraten: Anfang März wurde eine großangelegte Malvertising-Kampagne entdeckt, in deren Fokus die Werbeplattform von Baidu stand. Obwohl die Kampagne bereits im Oktober 2015 gestartet wurde, gelang es ihr durch ihre ausweichende und raffinierte Struktur, über vier Monate unentdeckt zu bleiben und zahllose Nutzer in China zu beeinträchtigen.

Zwei Wochen später wurden mehrere wichtige Nachrichtenseiten, darunter die der BBC und der New York Times, von einer Malvertising-Kampagne getroffen. Ähnlich wie beim Angriff durch Cryptolocker, der vom Angler Exploit Kit bedient wurde, hatte hier eine Ransomware-Variante die Besucher der Seite ins Visier genommen.

Die Angreifer stellten jedoch keineswegs ihre Aktivitäten nach Entdeckung der Kampagne ein, sondern änderten schlichtweg die Taktik: Anstatt Nutzer über Web-Banner zu infizieren, zielten sie nunmehr auf Videos als ihre Malvertising-Plattform ab. Die Kampagne lief somit erfolgreich weiter und wandte sich beispielsweise auch gegen die Webseite der Fox News.

Eine weitere neuere Malvertising-Kampagne mit einem noch komplexeren Angriffsfluss richtete sich gegen australische Nutzer: Hier wurde die Webseite einer Anwaltskanzlei infiltriert, gefälschte Anzeigen mit dem Logo der Kanzlei erstellt und auf der Webseite von Gumtree, einer Tochtergesellschaft von eBay, veröffentlicht, die 48 Millionen Besucher pro Monat zählt. Die Angreifer blieben unentdeckt, da sie die Anzeigen veränderten und zwischen harmlosen und bösartigen hin- und herwechselten, was den Sicherheitsanbietern die Identifizierung erschwerte.

Warum Malvertising?

Angriffe von Cyber-Kriminellen zielen oft auf Anbieter, die mit den wichtigsten Webseiten zusammenarbeiten – nicht auf die Seiten selbst. Oftmals erweist sich dies als der leichtere Weg zum Erfolg als ein direkter Angriff auf das beabsichtigte Opfer. Dieses Muster lässt sich bei verschiedenen Malvertising-Angriffen beobachten.

Die gleiche Methode wurde zum Beispiel beim berüchtigten Target-Hack angewandt: Hier drangen Angreifer in das Netzwerk von Target ein, indem sie zuerst das Netzwerk der Lieferanten von Target kompromittierten.

Es ist davon auszugehen, dass sich der Malvertising-Trend weiter fortsetzen und wichtige Seiten und Nutzer weltweit treffen wird. Um die Schäden zu minimieren, müssen Ad-Server ihre Sicherheitsvorkehrungen verstärken und dafür sorgen, dass der Inhalt, den sie liefern, rechtmäßig ist.

Wie können sich Unternehmen schützen?

Die jüngsten Malvertising-Angriffen zeigen, dass Bildung und Aufklärung über diese Bedrohungen nicht ausreichen, um geschützt zu bleiben. Selbst die Standard-Sicherheitsvorkehrungen, die in den meisten Unternehmen bereits vorhanden sind, können nur bekannte Bedrohungen verhindern und sind nicht in der Lage, den fortschrittlichen, sich ständig weiterentwickelnden Taktiken der Cyber-Kriminellen von heute entgegenzuwirken.

Dietmar Schnabel
Dietmar Schnabel (Bild: Check Point Software)

Unternehmen, die in vollem Umfang geschützt bleiben möchten, müssen ihre Strategien zur Bedrohungsabwehr verstärken und sich selbst nicht nur vor bekannten Bedrohungen, sondern auch vor unbekannter Malware und Zero-Day-Bedrohungen wie Malvertising schützen.

* Dietmar Schnabel ist Regional Director Central Europe bei Check Point Software.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44057667 / Mobile- und Web-Apps)