Was ist Malvertising?

25.10.2021
Von  und
Andrada Fiscutean schreibt für unsere US-Schwesterpublikation CSO Online.
Daniel Fejzo ist freier Mitarbeiter der Redaktion COMPUTERWOCHE.
Beim Malvertising wird Schadcode in vermeintlich seriöse Werbeanzeigen eingestreut. Sich dagegen zu schützen, ist schwerer als gedacht.
Malvertising kombiniert Malware mit Advertising. Das müssen Sie zum Thema wissen.
Malvertising kombiniert Malware mit Advertising. Das müssen Sie zum Thema wissen.
Foto: Tupungato - shutterstock.com

Selbst einige der weltweit populärsten Websites - darunter die New York Times und die Londoner Börse - haben in der Vergangenheit versehentlich bösartige Werbung ausgeliefert und damit ihre Nutzer gefährdet. Besorgniserregend ist, dass die User sogar dann infiziert werden können, wenn sie nicht auf die Anzeigen klicken - oft genügt das bloße Laden der Seite ("Drive-by-Download").

Malvertising - Definition

Der Begriff Malvertising setzt sich aus den englischen Begriffen für Schadsoftware (Malware) und Werbung (Advertising) zusammen und bezeichnet Techniken, mit denen Cyberkriminelle verdeckte Angriffe fahren. In der Regel kaufen die kriminellen Hacker dazu Werbeplätze auf vertrauenswürdigen Webseiten und platzieren Anzeigen, die zwar seriös wirken, aber maliziösen Code enthalten. Dieser kann User auf betrügerische Websites umleiten oder Malware auf dem Endgerät installieren.

Cyberkriminelle nutzen Malvertising, um verschiedene gewinnbringende Arten von Malware einzusetzen, darunter Ransomware, Cryptominer oder Banking-Trojaner. Einige Varianten installieren auch Skripte, die im Hintergrund Klickbetrug durchführen. Für die Angreifer kann das sehr profitabel sein. "Malvertising-Gruppen sind heute ähnlich gut organisiert wie richtige Unternehmen", meint Jerome Dangu, Mitbegründer und CTO des Security-Anbieters Confiant.

Malvertising vs. Adware

Malvertising wird manchmal mit Adware verwechselt. Der Unterschied: Malvertising bezieht sich auf Schadcode, der ursprünglich in Werbeanzeigen enthalten war und Nutzer betrifft, die eine solche infizierte Website aufrufen. Adware hingegen ist ein Programm, das auf dem Computer eines Benutzers ausgeführt wird. Adware versteckt sich oft in umfangreicheren Softwarepaketen, die auch reguläre Applikationen enthalten.

Malvertising - Verbreitungsgrad

Malvertising-Angriffe nehmen rasant zu. Confiant geht davon aus, dass eine von 200 Online-Anzeigen bösartig ist. Malvertising-Spezialist GeoEdge schätzt hingegen sogar, dass bis zu eine von 100 Anzeigen nicht sicher ist. Im Jahr 2017 blockierte Google rund 79 Millionen Anzeigen, die versuchten, Nutzer auf bösartige Websites umzuleiten und entfernte 48 Millionen Anzeigen, die die Installation unerwünschter Software nahelegten. Die Nutzer sind durch bösartige Ads vielfältigen Bedrohungen ausgesetzt. "Die häufigsten Angriffe sind automatische Weiterleitungen, bei denen der Nutzer direkt mit Phishing, Malware oder Ransomware konfrontiert wird", weiß Tobias Silber, Vice President of Marketing bei GeoEdge.

Automatische Weiterleitungen machten laut GeoEdge im letzten Quartal 2018 47,5 Prozent des gesamten Malvertising-Volumens aus, während weitere 25 Prozent auf Ad-Pre-Clicks (Drive-by-Downloads oder in die Hauptskripte einer Seite eingebetteter Schadcode) zurückgeführt werden konnten. Darüber hinaus entfielen sieben Prozent der Vorfälle auf bösartige Ad-Post-Klicks (nachdem Nutzer auf die Anzeige geklickt haben, werden sie direkt infiziert oder auf eine bösartige Website umgeleitet).

Ein Ende ist nicht in Sicht: Malvertising-Banden können weiterhin gedeihen, weil es in der Regel schwierig ist, die Mitglieder zur Rechenschaft zu ziehen, beklagt Michael Tiffany, Präsident und Mitbegründer von White Ops. Ende 2018 arbeitete sein Unternehmen mit Google und weiteren Organisationen sowie Strafverfolgungsbehörden zusammen, um eine der raffiniertesten Anzeigen-Betrugskampagnen namens "3ve" (ausgesprochen "Eve") zu Fall zu bringen. Die Gruppe erstellte gefälschte Versionen von Websites sowie Fake-Besucher, um Geld zu verdienen. In diesem Fall wurden die Täter verhaftet, doch "Folgen für Täter sind eher die Ausnahme", weiß Tiffany. "Dieser Fall war der erste, der schwere Konsequenzen für Cyberkriminelle nach sich zog, die Betrug mit Werbeanzeigen betrieben."

Malvertising - Funktionsweise

Seit Malvertising Ende 2007 oder Anfang 2008 erstmals aufgekommen war, hat sich die Technik entscheidend weiterentwickelt. Damals ermöglichte eine Sicherheitslücke in Adobe Flash Angreifern, bösartige Werbung über verschiedene Websites zu verbreiten, darunter auch auf MySpace. 2011 wurde dann einer der ersten Fälle eines Drive-by-Downloads aufgedeckt: Spotify stand im Mittelpunkt eines Malvertising-Angriffs, der das berüchtigte Blackhole-Exploit-Kit nutzte, das für ein paar hundert Dollar pro Monat gemietet werden konnte.

Der grundsätzliche Modus Operandi ist im Laufe der Jahre jedoch gleichgeblieben. Angreifer kaufen Werbeplätze von Agenturen und senden dann infizierte Bilder in der Hoffnung, nicht erwischt zu werden. Manchmal senden sie zunächst auch eine harmlose Anzeige und fügen den Schadcode erst später ein. Sind genug User infiziert, können sie ihn wieder entfernen. Dabei machen sich die Cyberkriminellen die oft komplexen Abläufe in der Werbeindustrie zunutze. In vielen Fällen besteht eine lange Lieferkette zwischen Werbetreibendem und Publisher, die ein Werbenetzwerk und einen oder mehrere Reseller umfasst. Wie jüngste Malvertising-Angriffe gezeigt haben, kann die gesamte Lieferkette manipuliert werden.

Das Sicherheitsunternehmen Check Point bemerkte etwa, dass ein legitimes Online-Werbeunternehmen im Zentrum eines Malvertising-Angriffs gestanden haben könnte. Im Juli 2018 deckten Researcher von Check Point eine groß angelegte Operation auf, bei der Malvertising über Tausende von kompromittierten WordPress-Seiten an die Nutzer verteilt wurde. Die Anzeigen enthielten bösartigen JavaScript-Code, der ungepatchte Schwachstellen in Browsern und Browser-Plug-ins, einschließlich Adobe Flash Player, ausnutzte. Um die Angriffe zu verschleiern, nutzten die Angreifer mehrere Exploit-Kits, darunter RIG, das verschiedene Webtechnologien (DoSWF, JavaScript, Flash und VBscript) kombiniert. Dabei entdeckte Check Point noch mehr Alarmierenderes, wie es auf der Website des Sicherheitsanbieters heißt: "AdsTerra, ein bekanntes Ad-Network-Unternehmen, hat sich Traffic von einem bekannten Cyberkriminellen gekauft, der sich als gewöhnlicher Publisher ausgibt, aber seinen Traffic über bösartige Aktivitäten erhält"

Laut Jerome Dangu bauen Malvertiser gezielt Beziehungen zu seriösen Werbeplattformen auf: "Der Ad-Tech-Branche wird zunehmend bewußt, dass sie im Kern von Malvertisern unterwandert ist. Denn wann immer eine bösartige Anzeige einem Nutzer präsentiert wird, umgeht sie mehrere Detektionsebenen des Ad-Tech-Ecosystem." Doch Cyberkriminelle müssen diesen Prozess nicht zwingend durchlaufen, etwa wenn sie große Websites hacken, um Usern infizierte Werbung zu präsentieren. Das geschah zum Beispiel bei Equifax nach der berüchtigten Sicherheitslücke.

Für gewöhnliche User wirken die bösartigen Anzeigen verlockend, weil ihre Inhalte oft starke Emotionen hervorrufen sollen und Handlungsaufforderungen beinhalten. Auch Produkte zum Schnäppchenpreis - etwa ein iPhone für einen Dollar - werden gerne versprochen, um Benutzer zur Preisgabe ihrer Kreditkarteninformationen zu verleiten. Laut Confiant sind die Malvertising-Aktivitäten an Wochenenden um 36 Prozent höher als an Wochentagen, wobei der Sonntag der bevorzugte Tag für Angriffe von Malvertisern ist. Auch an Feiertagen oder zu Ereignissen wie dem Black Friday, wenn viele User aktiv nach Schnäppchen suchen, steigt die Zahl der Malvertising-Angriffe.

Malvertising - Trends

Die Malvertising-Branche wird immer raffinierter, wenn es um Verbreitung von Malware geht. Seit Anfang 2019 gibt es immer mehr Drive-by-Anzeigen, die keinen Klick des Nutzers erfordern, sagt Phil Cowger, Forscher beim Cybersecurity-Unternehmen RiskIQ.

Der derzeit häufigste Angriff sei allerdings der Geschenkkarten-Betrug, sagt Dangu von Confiant. Ende 2018 deckte das Unternehmen eine großangelegte Malvertising-Kampagne auf, die auf iOS-Geräte von US-Bürgern abzielte. Die kriminelle Gruppe ScamClub ergaunerte sich 300 Millionen Browser-Sitzungen in nur zwei Tagen. "Die Angreifer sammeln riesige Mengen privater Daten, die von den Opfern bereitwillig weitergegeben werden, weil sie glauben, einen Gewinn zu erhalten", sagt Dangu und bezieht sich dabei auf den Betrug mit der kostenlosen Amazon-Geschenkkarte. "Die gesammelten Daten beinhalten Kaufabsichten sowie gesundheitsbezogene Daten und werden von den Angreifern weiterverkauft." Dangu ist der Meinung, dass die komplexen Mechanismen der Werbeindustrie zum Teil verantwortlich für diese Entwicklung sind. "Eine der jüngsten Malvertising-Kampagnen wurde über direkte Beziehungen zu Werbeplattformen geschaltet", sagt er. "Das ist eine erschreckende Zahl und zeigt, wie tief Malvertising-Gruppen in der Ad-Tech-Umgebung verwurzelt sind."

Die Malvertising-Gruppe "eGobbler" zielt auf HTML5-Libraries wie CreateJS und GreenSock, um ihren Schadcode zu verstecken. Das macht es für Analysten und automatisierte Scanner sehr schwierig, ihn als solchen zu erkennen. So geht Dangu davon aus, dass die Gruppe ausgeklügelte Anti-Bot-Techniken einsetzt, um sich vor Scannern zu schützen.

Eines der Tools, das von Malvertising-Gruppen gerne verwendet wird, ist die Steganografie. Das Konzept, eine Nachricht in einem anderen Text oder einem Bild zu verstecken, ist bereits seit der Antike bekannt und schon bei Herodot beschrieben. Malvertising-Gruppen verwenden einen ähnlichen Ansatz, indem sie Schadcode in ein unsichtbares Bild einbetten, das in einer Werbeanzeige versteckt ist. Die Anzahl solcher Vorfälle hat laut GeoEdge im letzten Quartal 2018 und bis ins Jahr 2019 hinein exponentiell zugenommen. Eines der Opfer war Experian, ein milliardenschweres weltweit aktives Unternehmen. "Eine ihrer Anzeigen wurde mit einem zweiten Bild versehen, das für den Nutzer nicht sichtbar war, sondern im Ad Request versteckt wurde und den eingebetteten Schadcode aufrief", sagt Silber. "Sobald die Anzeige auf dem Desktop oder dem Smartphone eines Nutzers erscheint, wurde der Code aktiviert. In diesem Fall leitete der bösartige Code automatisch zu einer Phishing-Website um."

Steganografie wurde auch von einer Malvertising-Gruppe namens "VeryMal" eingesetzt, die es einem Bericht zufolge auf Mac-Anwender abgesehen hatte. Dabei versteckte sich die JavaScript-Malware in Bilddateien. Kriminelle Gruppen arbeiten kontinuierlich daran, ihre Strategie zu verbessern. Im Fall der Steganografie besteht diese Optimierung im Einsatz polyglotter Bilder. Researcher von Devcon (heute otto) entdeckten eine kriminelle Gruppierung, die diese ausgefeilte Technik verwendet. Steganografische Exploits nutzen Daten, die durch die Abänderung einiger Pixel in einem Bild versteckt werden. Wenngleich sich augenscheinlich nichts am Bild geändert zu haben scheint, "erfordert Steganografie ein zusätzliches JavaScript (das nicht im Bild enthalten ist), um die Muster und Offsets zu kennen, mit denen die ausgenutzten Pixel gefunden und zu ausführbarem JavaScript neu zusammengesetzt werden können", schreibt Devcon in einem Blogbeitrag.

Polyglotte Exploits gehen noch einen Schritt weiter: Sie können gleichzeitig als Bild und als gültiges JavaScript gesehen werden. Zudem benötigen sie kein externes Skript, um die Nutzlast zu extrahieren. In genanntem Fall verwendete der Angreifer BMP-Bilder und manipulierte diese so, dass der Computer anstelle der Bildgröße die Zeichencodes für /** auslesen konnte - die Kombination von Zeichen, die in JavaScript einen Kommentar erzeugt. Wenn der JavaScript-Interpreter das sieht, ignoriert er alles, was dazwischensteht. Der Angreifer fügte die Sequenz =' und dann die Nutzlastzeichenfolge hinzu. Danach konnte die Datei im Browser auf zwei Arten ausgeführt werden: als Bild, wobei das JavaScript ignoriert wurde, oder als Skript, wobei die Bilddaten ignoriert wurden.

Mobile Malvertising - ein besonderer Brennpunkt

Smartphones und Tablets werden für Malvertising-Gruppen immer attraktiver, da sich die Benutzer weniger Gedanken über die Sicherheit dieser Geräte machen. Außerdem tippt man bei der Verwendung eines Smartphones häufig versehentlich auf eine Anzeige.

Aktuelle Malvertising-Kampagnen nehmen sowohl Android- als auch iPhone-Benutzer ins Visier. Ein Beispiel ist PayLeak, das Ende 2018 entdeckt wurde. Eine mit dem Pulitzer-Preis ausgezeichnete Zeitschrift mit Sitz an der amerikanischen Westküste versorgte ihre Leser mitbösartigen Werbeanzeigen. Wenn Nutzer auf eine der Anzeigen klickten, wurden sie auf eine Domain weitergeleitet, die in China registriert war und Malware beinhaltete. Mit Hilfe der Malware wollten die Angreifer herausfinden, welchen Gerätetyp das Opfer verwendet, ob es durch Virenschutz abgesichert ist und ob es sich in Bewegung befindet. Android-User wurden mit einer Amazon-Geschenkkarte gelockt, die sie auf eine Phishing-Seite umleitete. iPhone-Nutzer erhielten indes aufeinanderfolgende Popups, die gefälschte Anweisungen zur Aktualisierung ihres Apple-Pay-Kontos enthielten. Mobiles Malvertising steckt noch in den Kinderschuhen, sagt Michael Covington, Vizepräsident des Unternehmens für mobile Sicherheit Wandera. "Angreifer versuchen immer noch herauszufinden, was sie mit diesen oft ungeschützten Kanälen machen können", führt er aus.

Mobile Malvertising lässt sich tendenziell in drei allgemeine Kategorien einteilen. "Die häufigste Verwendung von Malvertising ist die Durchführung von sehr cleveren In-App-Phishing-Angriffen", sagt Covington. An zweiter Stelle steht Cryptojacking (die Nutzung eines fremden Computers zum Mining von Kryptowährungen). Wandera ermittelte, dass die Anzahl der von Cryptojacking betroffenen Geräte Ende 2018 im Vergleich zum Vormonat um fast 300 Prozent gestiegen ist.

Die dritte Art von Malvertising-Kampagnen versucht, Malware-Payloads direkt auf das Gerät zu bringen. "Obwohl dies in der Regel der am wenigsten erfolgreiche Angriff über Werbeanzeigen ist, sind die Angreifer ständig auf der Suche nach neuen Möglichkeiten, bösartige Apps an ahnungslose Nutzer zu verteilen", sagt Covington.

Im November 2020 berichtete The Media Trust, dass es eine neue mobile Malware namens Trickstack-3PC gefunden hat, die über kompromittierte Ad-Tags verbreitet wird. Bei den Tags handelt es sich eigentlich um JavaScript-Code, der ein JavaScript-Objekt erzeugt. Das Objekt nutzt wiederum den Computer des Opfers für Anzeigenbetrug. Besonders häufig werden dabei nicht sichtbare Werbeeinblendungen angezeigt und Klicks auf Anzeigen ausgeführt, um Einnahmen von Werbenetzwerken zu generieren. Obwohl die Opfer nicht sehen können, was Trickstack-3PC selbst tut, können sie erhebliche Leistungseinbußen auf ihren Geräten feststellen.

Malvertising - Schutzmaßnahmen

Sicherheitsexperten raten, Antivirus-Tools zu installieren und die Software auf dem neuesten Stand zu halten, einschließlich des Betriebssystems, der Browser, Adobe Flash und Java. Ein noch stärkerer Schutz kann durch den vollständigen Verzicht auf Flash und Java erreicht werden.

Die Experten glauben jedoch nicht an Ad-Blocker als Lösung, da sie sowohl der Werbeindustrie als auch dem Journalismus schaden könnten. "Verlage wie die LA Times oder die NY Times sind auf Werbeeinnahmen angewiesen, um ihre Angestellten zu bezahlen", sagt Maggie Louie, CEO von Devcon. "Werbeblocker machen diese Einnahmen zunichte." Louie empfiehlt stattdessen den Einsatz von Tools wie Ghostery, das bösartige Werbeanzeigen herausfiltern kann.

Die meisten Sicherheitsfirmen sind der Ansicht, dass auch Medienorganisationen, Browser-Anbieter und die Werbeindustrie mehr Verantwortung für das Malvertising-Geschehen übernehmen sollten. Publisher sollten beispielsweise nur mit vertrauenswürdigen Werbefirmen zusammenarbeiten, schlagen einige Analysten vor - aber auch die renommierten Namen der Branche bleiben von Malvertising betroffen. Phil Cowger, Researcher bei RiskIQ, empfiehlt Publishern und Ad Exchanges den Einsatz von Sicherheitsprodukten, "die ihnen Einblick in die gesamte Lieferkette für Werbung geben."

Dangu hat eine kleine Verbesserung im Umgang von Verlagen mit Malvertising festgestellt. Immer mehr solcher Organisationen "setzen auf Echtzeit-Erkennung auf der Client-Seite, um das bösartige Verhalten direkt im Browser des Endnutzers zu blockieren, während die sichere Werbung weiterläuft."

Auch Browser-Anbieter beschäftigen sich mit Malvertising, da Angreifer stark auf das Hijacking von Sitzungen mit einer Technik namens Forced Redirect setzen. "HTML5-iframe-Sandboxing ist ein Browser-Feature, das sich langsam durchsetzt, um Adserving vor Hijacks zu schützen", sagt Dangu. "Google hat eine eigene Initiative ergriffen und einen umfassenden Redirect-Blocker für Cross-Origin-iframes entwickelt."

Da Malvertising-Gruppen immer dreister werden, ist die beste Methode, sich vor ihnen zu schützen, eine Kombination aus einem System, das auf dem aktuellen Stand und mit Sicherheitssoftware ausgestattet ist, und dem nötigen Problembewusstsein, wie Jerome Segura, Bedrohungsexperte bei Malwarebytes, empfiehlt. "Bedrohungsakteure wechseln ihre Infrastruktur schnell und anstatt mit ihnen Katz und Maus zu spielen, können Sie viele ihrer Vorlagen proaktiv identifizieren."

Die beste Schutzmaßnahme für mobile User ist, App-Stores von Drittanbietern zu meiden, sagt Covington. "Wir empfehlen außerdem, den Einsatz einer Lösung zur Abwehr mobiler Bedrohungen in Erwägung ziehen, um die breite Palette an Bedrohungen zu erkennen, die potenziell per Malvertising verbreitet werden."

Die Zukunft des Malvertisings

Nach Meinung von Sicherheitsexperten wird Malvertising in den kommenden Jahren weiter florieren. Louie von Devcon rechnet im Bereich der polyglotten Exploits mit einem Anstieg: "Ich sage voraus, dass wir bald viel mehr hochentwickelte Bedrohungen durch Ads sehen werden sowie eine Renaissance der Watering-Hole-Angriffe", orakelt sie.

Dangu befürchtet, dass sich die Kriminellen an die Umgebung anpassen werden, in der sie operieren: "Noch vor ein oder zwei Jahren waren Malvertising Payloads viel offensichtlicher. Heutzutage werden die Angreifer immer besser darin, native Ad-Server-Funktionen zu nutzen, um es so aussehen zu lassen, als handle es sich um einen Teil des Ad-Tech-Stacks ."

Die meisten Sicherheitsunternehmen gehen davon aus, dass Malvertising-Gruppen zunehmend auf mobile Nutzer abzielen werden, da bei diesen die Bereitschaft zur Installation von Antivirus-Programmen geringer ist. Im Jahr 2018 verzeichnete GeoEdge einen 50-prozentigen Anstieg von Angriffen auf mobile Werbung. Seit Anfang 2019 hat das Unternehmen zudem einen 67-prozentigen Anstieg von bösartigen Codes verzeichnet, die auf In-App-Umgebungen abzielen.

Segura hat einen ähnlichen Trend festgestellt: "Im Gegensatz zum Desktop-PC, wo es bereits mehrere Schutzebenen gibt, sind mobile Geräte sehr anfällig für eine Vielzahl von Angriffen, da es an Schutzmaßnahmen, aber auch an der Sensibilität der Nutzer selbst mangelt."

Dennoch gibt es Lichtblicke. Cowger von RiskIQ glaubt, dass die Einstellung des Cryptomining-Dienstes Coinhive für einen Rückgang der Verbreitung von JavaScript-basierten Cryptocurrency-Minern sorgen wird. Andere hoffen, dass die Werbeindustrie sich des Problems annimmt, was zu einer wachsenden Nachfrage nach Tools zur Qualitätssicherung von Ads und Anzeigensicherheit führen wird. "Nutzerbeschwerden führen dazu, dass immer mehr Publisher Hilfe suchen, da sie ihre Marke schützen und ein positives Nutzererlebnis sicherstellen möchten", meint GeoEdge-Mann Silber.

Dangu von Confiant ist sogar noch optimistischer, wenn es um die Handlungsoptionen der Werbeindustrie geht. Mehrere Initiativen zielen auf eine Sandbox-Werbeplatzierung ab, zu der die Sicherheits-Community beigetragen hat. "Sobald die Akzeptanz in diesem Bereich eine kritische Masse erreicht hat, werden die meisten dieser Akteure Nachteile erleiden, wenn sie sich nicht weiterentwickeln."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.