Suchen

Malvertising Wenn sich Malware im Ad-Framework verbirgt

| Autor / Redakteur: Dietmar Schnabel / Stephan Augsten

Malvertising-Attacken treffen immer öfter populäre News- und Kommerz-Webseiten wie die der BBC oder der New York Times. Um diese Form der Malware-Verbreitung zu verstehen, muss man sich zunächst grundlegende Schadcode-Eigenschaften und -Methoden ins Gedächtnis rufen.

Firmen zum Thema

Bösartige Inhalte lassen sich am eifnachsten über Werbe-Frameworks in eigentlich legitime Webseiten einschleusen.
Bösartige Inhalte lassen sich am eifnachsten über Werbe-Frameworks in eigentlich legitime Webseiten einschleusen.
(Bild: Archiv)

Eine der bekanntesten Methoden zur Verbreitung von Malware ist die Infizierung von Webseiten und die Ausführung von Drive-by-Angriffen. Besucht ein Nutzer eine infizierte Seite, wird ein Exploit-Kit aktiviert. Sobald es aktiviert ist, prüft es, ob die Maschine vor einem oder mehreren Exploits, die das Kit enthält, geschützt ist.

Ist das nicht der Fall, nutzt es die Schwachstelle aus und installiert bösartige Software auf dem Gerät des Nutzers. Da es sich hierbei um eine gängige Bedrohung handelt, rüsten die meisten Webseiten ihre Systeme auf, um sich selbst und ihre Besucher vor einer Infektion zu schützen.

Cyber-Kriminelle umgehen gut geschützte Webseiten, indem sie die Server infizieren, welche die Webseite mit Werbung versorgen. Diese Form des Angriffs wird Malvertising genannt und ist für Angreifer, die mit ihrer Malware ein breites Publikum treffen wollen, äußerst effektiv: Je beliebter die Webseite, desto größer der Effekt.

Tendenz steigend

Bei Malvertising handelt es sich zwar um keine neue Angriffsform, doch ist sie erst nach einigen Ereignissen in jüngster Zeit in die Schlagzeilen geraten: Anfang März wurde eine großangelegte Malvertising-Kampagne entdeckt, in deren Fokus die Werbeplattform von Baidu stand. Obwohl die Kampagne bereits im Oktober 2015 gestartet wurde, gelang es ihr durch ihre ausweichende und raffinierte Struktur, über vier Monate unentdeckt zu bleiben und zahllose Nutzer in China zu beeinträchtigen.

Zwei Wochen später wurden mehrere wichtige Nachrichtenseiten, darunter die der BBC und der New York Times, von einer Malvertising-Kampagne getroffen. Ähnlich wie beim Angriff durch Cryptolocker, der vom Angler Exploit Kit bedient wurde, hatte hier eine Ransomware-Variante die Besucher der Seite ins Visier genommen.

Die Angreifer stellten jedoch keineswegs ihre Aktivitäten nach Entdeckung der Kampagne ein, sondern änderten schlichtweg die Taktik: Anstatt Nutzer über Web-Banner zu infizieren, zielten sie nunmehr auf Videos als ihre Malvertising-Plattform ab. Die Kampagne lief somit erfolgreich weiter und wandte sich beispielsweise auch gegen die Webseite der Fox News.

Eine weitere neuere Malvertising-Kampagne mit einem noch komplexeren Angriffsfluss richtete sich gegen australische Nutzer: Hier wurde die Webseite einer Anwaltskanzlei infiltriert, gefälschte Anzeigen mit dem Logo der Kanzlei erstellt und auf der Webseite von Gumtree, einer Tochtergesellschaft von eBay, veröffentlicht, die 48 Millionen Besucher pro Monat zählt. Die Angreifer blieben unentdeckt, da sie die Anzeigen veränderten und zwischen harmlosen und bösartigen hin- und herwechselten, was den Sicherheitsanbietern die Identifizierung erschwerte.

Warum Malvertising?

Angriffe von Cyber-Kriminellen zielen oft auf Anbieter, die mit den wichtigsten Webseiten zusammenarbeiten – nicht auf die Seiten selbst. Oftmals erweist sich dies als der leichtere Weg zum Erfolg als ein direkter Angriff auf das beabsichtigte Opfer. Dieses Muster lässt sich bei verschiedenen Malvertising-Angriffen beobachten.

Die gleiche Methode wurde zum Beispiel beim berüchtigten Target-Hack angewandt: Hier drangen Angreifer in das Netzwerk von Target ein, indem sie zuerst das Netzwerk der Lieferanten von Target kompromittierten.

Es ist davon auszugehen, dass sich der Malvertising-Trend weiter fortsetzen und wichtige Seiten und Nutzer weltweit treffen wird. Um die Schäden zu minimieren, müssen Ad-Server ihre Sicherheitsvorkehrungen verstärken und dafür sorgen, dass der Inhalt, den sie liefern, rechtmäßig ist.

Wie können sich Unternehmen schützen?

Die jüngsten Malvertising-Angriffen zeigen, dass Bildung und Aufklärung über diese Bedrohungen nicht ausreichen, um geschützt zu bleiben. Selbst die Standard-Sicherheitsvorkehrungen, die in den meisten Unternehmen bereits vorhanden sind, können nur bekannte Bedrohungen verhindern und sind nicht in der Lage, den fortschrittlichen, sich ständig weiterentwickelnden Taktiken der Cyber-Kriminellen von heute entgegenzuwirken.

Dietmar Schnabel
Dietmar Schnabel
(Bild: Check Point Software)

Unternehmen, die in vollem Umfang geschützt bleiben möchten, müssen ihre Strategien zur Bedrohungsabwehr verstärken und sich selbst nicht nur vor bekannten Bedrohungen, sondern auch vor unbekannter Malware und Zero-Day-Bedrohungen wie Malvertising schützen.

* Dietmar Schnabel ist Regional Director Central Europe bei Check Point Software.

Artikelfiles und Artikellinks

(ID:44057667)