Was bedeutet der Begriff Malvertising?
Malvertising setzt sich aus «Malware» (schädliche Software) und «Advertising» (Werbung) zusammen. Gemeint ist eine Methode, mit der Schadprogramme über normale Internet-Werbung verbreitet werden. Besonders heimtückisch: Manche infizierten Anzeigen müssen nicht einmal angeklickt werden. Ein Drive-by-Download reicht — sobald die Werbeanzeige lädt, ist der Rechner infiziert.
Für einen Angreifer muss der eigentliche Server dabei nicht unter Kontrolle gebracht werden. Es genügt, wenn die Werbung vor dem Hochladen nicht sorgfältig geprüft wird. Das klingt fahrlässig, ist in der Praxis aber ein strukturelles Problem: Viele Webseitenbetreiber — auch seriöse — fehlen schlicht die technischen Mittel oder Ressourcen, jede Anzeige gründlich zu überprüfen.
Als Schutz für dich als Nutzerin oder Nutzer bleiben Adblocker das wirksamste Mittel. Diese Browser-Erweiterungen verhindern, dass Werbeinhalte überhaupt geladen werden — infizierte Anzeigen kommen so gar nicht erst auf deinen Rechner.
Die aktuellen Angriffe
Die Sicherheitsfirma Confiant warnte vor Angriffen auf Revive Adserver und damit kompromittierte Werbeserver. Die Infizierung lief über manipulierte Flash-Update-Banner.
Die Angreifergruppe nutzt dabei klassisches Malvertising, um die Rechner von Endnutzern zu infizieren — potenziell trifft das jeden. Nach Angaben von Confiant sind rund 60 Werbeserver betroffen.
Erste Spuren dieser Angriffe fanden sich im August 2019. Ob sie davor unentdeckt liefen, lässt sich nicht feststellen. Die Gruppe nennt sich «Tag Barnakle» und nutzte veraltete Revive-Installationen als Einstiegspunkt. Über die damit verbundenen Sicherheitslücken konnten sich die Angreifer dauerhaft auf fremden Servern einnisten.
Was passiert, nach dem die Angreifer die Kontrolle über die Werbeserver übernommen haben?
Die reguläre Werbung läuft nach der Übernahme scheinbar normal weiter. Zusätzlich wird ein getarntes Schadscript ausgeliefert, das Inhalte von einer separaten Domain nachlödt — einem Werbenetzwerk, das für Malware-Verteilung bekannt ist. Du als Nutzerin oder Nutzer bekommst von dieser Verbindung nichts mit.
Das typische Angriffsmittel ist ein Banner, das sich als Flash-Update tarnt. Es soll dich dazu bringen, das Banner anzuklicken und ein vermeintliches Update zu installieren. Was danach auf deinem Rechner landet, war zum Zeitpunkt der Analyse noch unklar. Klar ist: Flash-Updates über Werbebanner solltest du nie ausführen.
Für Verschleierung sorgen die Angreifer mit Cookies, die verhindern, dass dieselbe Person die Malware zu oft zu Gesicht bekommt. Das Schadscript prüft ausserdem, ob die Entwicklerkonsole im Browser geöffnet ist — ein Hinweis darauf, dass jemand aktiv nach ungewöhnlichen Aktivitäten sucht.
Wie verbreitet ist die Schadsoftware im Web?
Eine genaue Zahl lässt sich nicht nennen. Confiant konnte die beschriebenen Aktivitäten auf 360 Websites beobachten — wie hoch die Dunkelziffer ist, weiss niemand.
Der Grund: Die kompromittierten Adserver spielen ihre Inhalte per Programmatic Advertising auf mehrere tausend unterschiedliche Websites aus. Wie viele davon betroffen sind, bleibt offen. Bei einem der gehackten Server dokumentierte Confiant 1,25 Millionen Anzeigenabrufe pro Tag — die Reichweite ist also erheblich.
Direkte Angriffe auf Adserver waren bis dahin selten. Verbreitung über Werbung läuft normalerweise anders: über gehackte oder gefälschte Accounts auf etablierten Werbemarktplätzen oder über kompromittierte WordPress-Installationen. Adserver direkt zu kapern erfordert deutlich mehr technisches Wissen — das macht solche Angriffe schwerer aufzuspüren und schwerer abzuwehren.
Tag Barnakle arbeitet anders als die meisten Malvertiser: Die Gruppe kauft über gefälschte Werbefirmen Anzeigeplätze auf legitimen Websites und füllt sie mit schädlichen Inhalten. Die Webseitenbetreiber wissen davon nichts — und profitieren trotzdem von den Werbeeinnahmen. Manche schauen weg, solange die Kasse stimmt.
Dass diese Methode so selten ist, hat zwei Gründe. Erstens erfordert das Kapern eines Adservers erhebliches technisches Know-how. Zweitens empfinden viele Malvertiser ihre Angriffe als Grauzone — die direkte Kompromittierung eines Servers ist das klar nicht. Wer so vorgeht, bricht das Gesetz, und zwar im grossen Stil. Die meisten schrecken davor zurück. Tag Barnakle nicht.
Schutz vor den Angriffen
Der wirksamste Schutz bleibt der Adblocker. Es gibt viele kostenlose Optionen, die zuverlässig verhindern, dass infizierte Werbeinhalte auf deinen Rechner gelangen. Zusätzlich gilt: Werbebanner im Netz nicht anklicken und niemals Software über eine Werbeanzeige installieren — egal wie dringend das Update aussieht.