Malvertising: Malware Verbreitung per Online-Werbung

Die Vermarktung von Onlinewerbung

Um den Exploit zu verstehen, muss man kurz in die wichtigsten Elemente des Werbevertriebs gehen. Vereinfacht kann heute die Online-Werbebranche in vier Akteuren eingeteilt werden: Publisher, beispielsweise Homepage oder Portalbetreiber, die Werbefläche im Angebot haben. Sie verkaufen diese an Ad-Networks (Werbenetzwerke). Deren Angebot nutzen wiederum Reseller, um daraus Angebote für Werbekunden (Advertiser) zu schnüren. Sie stehen am anderen Ende des Vertriebskanals mit ihren Produkte oder Inhalten, die sie bewerben möchten.

Bei der entdeckten Malvertising-Kampagne tarnten sich Cyberkriminelle als Publisher („Master134“ genannt) und nutzen die mit seriösen Ad-Networks & Resellern aufgebauten Partnerschaften zur Verbreitung von Malware wie Banking Trojaner,Ransomware und Bots. Genauer betrachtet heißt das, dass Master134 über 10.000 Word-Press-Seiten gehackt, den Datenverkehr davon verkauft hat. Ad-Plattform oder Reseller verkauften die Werbeflächen dann wiederum an den meist bietenden Advertiser. Dieser Werber wiederum verfolgte aber ebenfalls kriminelle Absichten und wollte Malware über verseuchten Werbeflächen verbreiten.

Online-Werbung gezielt ausnutzen

Cyberkriminelle nutzen Online-Werbung zu ihrem Vorteil, indem sie automatisierte Abläufe der Angebotsplattformen von Ad-Networks und Resellern für ihre Zwecke eingespannt haben. Beim Kauf Werbefläche überbieten sie gezielt große Unternehmen wie Nike oder Coca Cola. So wird es möglich, dass das Ad-Network die mit Malware beladene Werbung als Käufer auswählt und diese wiederum über die gehackten Seiten angezeigt wird.

Die Publisher werden für ihre Werbefläche auf einer maliziösen Homepage bezahlt. Zudem füllen die Advertiser die Anzeigen ebenfalls mit Schadcode und können durch die resultierenden Cyberattacken Profit schlagen und den gesamten Prozess finanzieren. Ad-Networks und Reseller verdienen an den Attacken mit und machen sich unfreiwillig zu Mittätern. Darüber hinaus können die Malvertiser (als Werbekunden getarnte Cyberkriminelle) sogar ihren ROI (Return of Investment) der Ausgaben mit den Einnahmen, die sie durch die Lösegeldzahlungen der infizierten Nutzer erlangen, ins Verhältnis setzen.

Werbeblocker liefern nur bedingten Schutz

Als Konsequenz daraus installierten die Nutzer Werbeblocker, die die mit Malware infizierten Werbeanzeigen ausblenden sollen. Der Anstieg stagnierte jedoch schnell wieder, da legitime Publisher dazu übergegangen sind, den Zugriff auf Seiten zu sperren, wenn Nutzer einen Werbeblocker installiert hatten. Schließlich ist dies in der Regel die Einkommensgrundlage.

Google nahm Anfang dieses Jahres die Dinge selbst in die Hand und entwickelte zusammen mit der Coalition for Better Ads einen Werbeblocker auf Google Chrome, der Werbung von Seiten, deren Qualität nicht den Branchenstandards entspricht automatisch entfernt. Problem dabei: der Google Werbeblocker beschäftig sich mehr mit unerwünschter Werbung als mit Malvertising.

Durch die Struktur und den Vertriebsmodus der Online-Werbung gibt es zu viele Varianten, als dass Google oder Ad-Networks selbst oder auch ihre Reseller in der Lage wären, jede infizierte Werbeanzeige zu entdecken. Wie bereits erwähnt, nutzen Advertiser Real-Time-Bidding-Plattformen von Resellern und Ad-Networks, um in Echtzeit Gebote für den Erwerb von Werbeflächen abzugeben. Diese Werbeanzeigen enthalten benutzerdefinierten JavaScript-Code, der auf den Browsern des Nutzers läuft. Der genaue Inhalt, den die Nutzer sehen, hängt unter anderem davon ab, wer sie sind, wo sie sind und welche Art von Gerät sie nutzen. Das macht es sowohl für Publisher als auch für Ad-Networks fast unmöglich, jede Anzeigenversion schlüssig auf bösartigen Inhalt zu prüfen.