Vielbesuchte deutsche Websites von Malvertising-Kampagne betroffen
Aufpassen sollten Nutzer unter anderem bei Ebay.de, t-online.de und Arcor.de. Die Kriminellen konnten sich gegenüber etablierten Werbenetzwerken offenbar als seriöse Werbetreibende ausgeben und so ihre infizierten Anzeigen verteilen. Einmal angeklickt, führen sie zu einer Infektion mit dem Exploit-Kit Angler.
Das Sicherheitsunternehmen Malwarebytes hat auf eine neue Malvertising-Kampagne hingewiesen, die sich gegen Nutzer häufig besuchter deutscher Websites wie ebay.de und t-online.de richtet. Ebenfalls betroffen sind die Portale von Arcor, Südwest Presse (swp.de), Fischkopf.de sowie des Donaukuriers. Zahlreiche weitere dürften jedoch ebenfalls betroffen sein. Besuchern dieser Webseiten droht eine Infektion durch das Exploit-Kit Angler.
Den Kriminellen gelang es Malwarebytes zufolge, das Vertrauen renommierter Anzeigennetzwerke zu gewinnen, darunter auch das der deutschen Ad-Serving-Plattform MP NewMedia. Darüber war es ihnen möglich, bekannte Publisher und Werbenetzwerke zu beeinträchtigen. Die Sicherheitsspezialisten haben zwei dafür verwendete Ad-Server ermittelt, die eine ähnliche Struktur aufweisen, wie die durch sie missbrauchte legitime deutsche Plattform.
Die zugehörigen Domains lauten deutschlandauto.xyz/deliver2/deliver2?kampagnen=30 und deutschewelle.pw/deliver2/deliver2?kampagnen=30. Sie wurden einen Tag vor dem Start der Malvertising-Kampagne registriert. Die für den Administrator angegebene E-Mail-Adresse “ipsec@ihateclowns.com” ist ganz offensichtlich unglaubwürdig. Da für jeden Angriff Unique Identifiers eingesetzt werden, bezeichnet Malwarebytes die Angriffswelle einfach als “Kampagnen”.
Der Sicherheitsanbieter hat eigenen Angaben zufolge betroffene Website-Betreiber und Anzeigennetzwerke über die Attacke in Kenntnis gesetzt. MP NewMedia erklärte Malwarebytes gegenüber, dass das Problem erkannt und behoben worden sei. Laut Malwarebytes könnte die Kampagne allerdings über andere Werbenetzwerke weiterlaufen.
Öffnen Anwender die schädlichen Anzeigen, werden ihre Rechner mit dem Exploit-Kit Angler infiziert. Die Angreifer könenn dann Schadsoftware in das System einschleusen. Deshalb sollten Nutzer darauf achten, dass ihr System sowie die installierte Sicherheitssoftware immer auf dem neuesten Stand sind.
Eine ähnliche Malvertising-Kampagne hatte Malwarebytes schon im September entdeckt. In Europa missbrauchte sie unter anderem das Werbenetzwerk der Google-Tochter DoubleClick. Bedrohliche Anzeigen fanden sich auch auf seriösen Websites von Ebay in Großbritannien sowie des britischen Mobilfunkproviders TalkTalk. Hier gelang es den Kriminellen ebenfalls, sich als legitime Werbetreibende auszugeben. Über das Einschleusen des Angler-Exploit-Kits wurde dabei unter anderem Erpressersoftware auf den Rechnern der Opfer installiert.
Laut Malwarebytes sind derartige Malvertising-Kampagnen erfolgreich, weil Werbetreibenden Inhalte über ihre eigenen Systeme zur Verfügung stellen dürfen. Sie behalten sie die Kontrolle über die Auslieferung ihrer Anzeigen und haben eine direkte Verbindung zu den Nutzern, die ihre Werbung anklicken.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de