Was bedeutet der Begriff Malvertising?
Hierbei handelt es sich um eine Mischung aus den Wörtern “Malware” (= schädliche Software) und “Advertising” (= Werbung). Mit dem Begriff wird eine Methode zur Ausbreitung von schädlichen Programmen über Computernetzwerke bezeichnet. Als Vehikel für die Verbreitung wird normale Internet-Werbung genutzt, daher auch die Einbeziehung des Begriffs “Advertising”. Mit dieser Internet-Werbung werden Programmcodes ausgeführt. Dabei gibt es sogar schädliche Werbeanzeigen, die der Nutzer nicht einmal anklicken muss. Durch diese Drive-by-Download wird der Computer infiziert, sobald die Werbeanzeige auftaucht.
Bei dieser Methode muss ein Angreifer den begehrten Server nicht selbst unter Kontrolle bringen. Für einen erfolgreichen Angriff muss nur die Werbung vor dem Hochladen nicht genügend geprüft werden. Dies ist ein Problem, welches auch seriöse Webseiten in der Vergangenheit nicht immer abwenden konnten. Mangels technischer Expertise oder eines Mangels an Ressourcen ist es oft nicht möglich, die Werbung ausgiebig zu prüfen.
Für den Nutzer gibt es Schutz gegen diese Angriffe in Form von Adblockern. Diese Browser-Erweiterungen verhindern automatisch, dass Werbeinhalte geladen und ausgeführt werden. So werden die infizierten Werbeinhalte gar nicht erst geladen und der PC kann nicht infiziert werden.
Die aktuellen Angriffe
Von der Sicherheitsfirma Confiant gab es unlängst eine Warnung vor Angriffen auf Revive Adservern und damit verbundene gehackte Werbeserver. Die Infizierung fand dabei über Flash-Updates statt, die entsprechend manipuliert worden sind.
Die Angreifer Gruppe arbeitet dabei mit der beschriebenen Malvertising Methode. Mit dieser sollen die PCs der Endnutzer infiziert werden. Diese Infizierung kann somit also jeden von uns treffen.
Die Sicherheitsfirma Confiant ist auf Angriffe dieser Art spezialisiert. Laut der Firma sollen ungefähr 60 Werbeserver von den Angriffen betroffen sein.
Erste Anzeichen für diese Angriffe gab es im August 2019. Somit gibt es diese Angriffe mindestens seit diesem Zeitpunkt, also rund acht Monate. Natürlich ist es auch möglich, dass die Angriffe noch eine weitaus längere Zeit unbemerkt oder ungemeldet stattgefunden haben. Genau lässt sich dies aktuell nicht feststellen. Die Angriffe werden von einer Gruppe namens “Tag Barnakle” durchgeführt.
Die Angreifer gehen bei ihren Angriffen folgendermassen vor: Über veraltete Installationen von dem Adserver Revive konnten die Angreifer eindringen. Hiermit verbundene Sicherheitslücken werden bei den Angriffen ausgenutzt. Über diese ist es den Angreifern dann möglich, sich dauerhaft auf dem fremden Rechner einzunisten.
Was passiert, nach dem die Angreifer die Kontrolle über die Werbeserver übernommen haben?
Nach der erfolgreich übernommenen Kontrolle läuft die eigentliche Werbung normal ab. Zusätzlich wird allerdings auch ein getarntes Schadscript ausgeliefert. Dieses ruft Inhalte von einer anderen, neuen Domain ab. Bei dieser Domain handelt es sich um ein Werbenetzwerk, welches Malware verteilt. Für diese Verteilung ist das Werbenetzwerk berüchtigt und bekannt. Aufgrund der Tarnung innerhalb der regulären Werbung, bekommt der Nutzer von dieser Verbindung allerdings natürlich nichts mit und bemerkt den Angriff eventuell noch nicht einmal.
Die Methode der Angreifer ist meistens ein angezeigtes Banner. Dieses tarnt sich als Flash-Update. Mithilfe von diesem sollen die Nutzer dazu verleitet werden, das Banner anzuklicken, um das Update zu installieren. Durch diese Installation gelangt dann die schädliche Software auf den eigenen Rechner. Welche Schadsoftware es ist, die hier genutzt wird, ist aktuell noch unklar. Somit sollte jeder Internetnutzer aktuell bei “Flash-Updates” sehr vorsichtig sein und diese keinesfalls über ein Werbebanner ausführen.
Für das Verbergen der Aktivitäten unternehmen die Angreifer nicht all zu viele Anstrengungen, diese sind bestenfalls minimal zu nennen. Die Angreifer nutzen hierfür Cookies. Mit deren Hilfe soll verhindert werden, dass die Malware beim Nutzer nicht allzu oft angezeigt wird. Darüber hinaus findet noch eine Prüfung durch das sogenannte Schadscript statt. Dieses prüft, ob der Nutzer des infizierten Rechners die Entwicklerkonsole geöffnet hat. Denn über diese würde er die Infizierung schnell bemerken.
Wie verbreitet ist die Schadsoftware im Web?
Eine Antwort auf diese Frage kann bei der aktuellen Lage nicht gegeben werden. Die Sicherheitsfirma Confiant gibt dazu an, dass die beschriebenen Aktivitäten auf 360 Websites beobachtet werden konnte. Es kann allerdings noch sehr viel mehr Websites geben, die davon betroffen sind. Bei den 360 handelt es sich um die entdeckten Fälle, wie hoch die Dunkelziffer ist, kann niemand sagen.
Denn bei den von den Angreifern genutzten Adserver handelt es sich um Server, die ihre Inhalt auf mehrere tausend unterschiedliche Websites ausspielen. Dies geschieht mittels Programmatic Advertising. Auf wie vielen Websites sich die schädliche Software befindet, ist daher unklar. Es können durchaus mehrere tausend Websites betroffen sein.
Hinzu kommt die Zahl der Anzeigenabrufe. Die Mitarbeiter von der Sicherheitsfirma Confiant entdeckten bei einem der gehackten Server Zahlen von 1,25 Millionen pro Tag. Die Verbreitung der schädlichen Software ist somit in grossem Masse möglich.
Die Sicherheitsforscher können somit nicht angeben, wie viele Webserver betroffen sind und genauso wenig, wie weiträumig die Verbreitung von diesen Webservern aus ist.
Direkte Angriffe auf Adserver waren in der Vergangenheit recht selten. Die Verteilung von Malware auf dem Weg über die Anzeigen ist seit vielen Jahren ein bekanntes Problem. Meistens gehen die Angreifer dabei allerdings anders vor. Sie versuchen beispielsweise, die infizierte Software über gehackte oder gefälschte Account zu verbreiten. Dafür nutzen sie dann etablierte Werbemarktplätze. Eine andere Möglichkeit ist eine WordPress-Installation. Bei diesen beiden Methoden handelt es sich um die gängigen Angriffsmöglichkeiten über die Werbung. Angriffe auf Adserver kommen hingegen nicht allzu oft vor. Daher ist auch der Schutz gegen diese Angriffe sehr schwer.
Das Vorgehen der Gruppe Tag Barnakle unterscheidet sich deutlich von den Strategien anderer Gruppen. Die Gruppe kauft über falsche Werbefirmen Anzeigeplätze auf Websites, die völlig legal sind. Die legalen Websites werden dann mit schädlicher Werbung gefüllt. Der Nutzer der Website ist von dieser Vorgehensweise natürlich nicht informiert. Oftmals wird allerdings, wie bereits beschrieben, der Code für die Anzeigen nicht ausreichend geprüft. Diese Sicherheitslücke macht sich Tag Barnakle zu nutze. Es gibt auch zweifelhafte Anbieter, die Geschäfte dieser Art dulden. Denn die Werbung beschert auch den Betreibern der Websites natürlich Gewinne. Ob die Werbung für den Nutzer schädlich ist, ist einigen Betreibern tatsächlich schlicht gleichgültig.
Die Taktik von Tag Barnakle ist in ihrer Vorgehensweise ausnehmend selten. Dies liegt an zwei unterschiedlichen Gründen. Zunächst haben die meisten Malvertiser nicht das nötige Wissen für diese Vorgehensweise. Das Kapern von einem Ad-Server ist sehr komplex und kann nicht von jedem Hacker durchgeführt werden. Des Weiteren haben viele Malvertiser das Gefühl, das ihre Angriffe in einer rechtlichen Grauzone stattfinden. Sie haben daher nicht so grosse Angst, für die Angriffe tatsächlich belangt werden zu können. Durch die Kompromittierung von Adservern ändert sich dies allerdings schlagartig. Wer dies tut, bricht das Gesetz und das in grossem Stil. Die meisten Malvertiser schrecken davor zurück. Nicht allerdings die Gruppierung Tag Barnakle.
Durch den Seltenheitsfaktor der Angriffe ist es natürlich um so schwerer sie aufzuspüren und zu verhindern. Ausserdem ist es daher auch so schwer, die Anzahl der Angriffe einzuschätzen.
Schutz vor den Angriffen
Einen Schutz vor den Angriffen gibt es über die bereits beschriebenen Adblocker. Diese stellen die beste Möglichkeit dar, die Infizierung des eigenen Rechners zu verhindern. Hierfür gibt es viele kostenlose Möglichkeiten, die im Internet genutzt werden können. Wichtig ist es natürlich auch, keine Werbung im Internet anzuklicken und keinesfalls irgendwelche Software über Werbebanner zu installieren.