Malvertising – Eine Milliarde Seitenaufrufe für Malware und Scams

Malvertising wuchs im vergangenen Jahr überraschend stark an. Es handelt es dabei um betrügerische Onlinewerbung, die das Ziel hat den Nutzer mit Malware zu infizieren oder zu betrügen. Das Sicherheitsunternehmen Confiant hat nun die Quelle für einen großen Teil der geschalteten Anzeigen gefunden. Ein Netzwerk aus 28 Fake-Unternehmen hat noch Expertenschätzungen 2017 etwa eine Milliarde Anzeigeeinblendungen erzeugt, die dazu dienten Nutzer ohne ihr Zutun auf die Webseiten der Hintermänner umzuleiten. Auch das Fachmagazin Ars Technica ist der Ansicht, dass das Netzwerk für den raschen Anstieg der Fake-Anzeigen verantwortlich war.

Smartphones nicht betroffen

Die Werbekampagnen der Fake-Agenturen waren ausschließlich auf Desktop-Browser ausgerichtet. Smartphones und Tablets waren nicht betroffen. Die Betrüger haben sowohl Windows als auch macOS, Chrome OS und auch Linux im Visier ihrer Aktivitäten gehabt. Die Umleitungsziele waren unteranderem Seiten für Affiliate-Betrug und Tech-Support-Scams, es wurde aber auch „klassische“ Malware über das Netzwerk verbreitet.

Das Unternehmen Confiant ist Experte im Erkennen und Blockieren von Malvertising-Anzeigen. Es hilft seriösen Webseiten dabei solche betrügerischen Anzeigen nicht auszuliefern. Das Unternehmen hat den Fake-Agenturen den Namen „Zirconium“ gegeben. Confiant und einige Partnerunternehmen konnten aufdecken, dass eine Strohfirma in Schottland als Front der 28 Fake-Agenturen diente. Eröffnet wurde das Unternehmen in Schottland wiederum von einer Firma auf den Seychellen. Es wird vermutet, dass die dortigen Hintermänner auch in anderen Sektoren der Online-Kriminalität aktiv sind, die im Zusammenhang mit Kryptowährung und der Kryptobörse Btc-e-com stehen. Btc-e-com wurde bereits von den US-Ermittlungsbehörden geschlossen.

Beginn der Aktivitäten im Februar 2017

Die Fake-Agenturen haben vor etwa einem Jahr langsam angefangen ihre Geschäfte aufzunehmen. Nach einiger Zeit konnten sie so das Vertrauen etablierter Werbeplattformen erlangen, was dazu führte, dass sie auf 62 Prozent aller Webseiten die mit Werbeeinblendungen arbeiten ihre Anzeigen schalten konnten. Eingesetzt wurden dabei nur 20 der 28 Agenturen. Die restlichen acht Agenturen blieben inaktiv im Hintergrund, vermutlich damit die Betrüger einen Ersatz haben, falls ihre Aktivitäten aufgedeckt werden.

Der Aufwand mit dem die Fake-Agenturen betrieben wurden ist laut Confiant beachtlich. Um glaubhaft zu wirken wurde für jede Fake-Agentur ein individueller Werbeserver installiert. Außerdem gab es Unternehmenswebseiten und gefälschte Social-Media-Profile. Die Fake-Agentur Grandonmedia hatte ihren angeblichen Sitz in Stuttgart. Der „Gründer“ und Chef der Agentur Ferdinand Konrad verfügte über einen Twitter-Account und eine LinkedIn-Mitgliedschaft. Die veröffentlichten Beiträge lesen sich jedoch so als ob ein Bot sie geschrieben hat.

Browser-Fingerprint

Um möglichst unauffällig zu arbeiten setzen die Fake-Agenturen ihre Weiterleitungen nur bei einem Teil der Besucher ein. Sie versuchten mit Browser-Fingerprint-Techniken möglichst unentdeckt von Sicherheitsunternehmen zu arbeiten. Ein Teil des Traffics wurde jedoch auch an weniger wählerische Kunden weiterverkauft. Michael Kronawetter erklärte dazu im Microsofts National Security Officer-Blog: „Besonders beliebt war sie (die Domain MyAdsBro) jedoch offensichtlich in der kriminellen Hacker-Szene. Etliche Links führen von hier zu Sites, die mit Malware verseuchte Adobe-Flash-Updates, Software-Installer, angebliche Support-Angebote und andere Requisiten von Internet-Betrügern anboten.“

Kronawetter empfiehlt den Betreibern von Webseiten ihre Werbeeinblendungen regelmäßig zu überprüfen. Sollten sie Forced Redirects feststellen hilft es nur umgehend das Werbenetzwerk darüber zu informieren. Inzwischen schützen alle größeren Browser ihre Nutzer aber auch vor solchen Weiterleitungen.