Malvertising: Fake-Agenturen erzielen 1 Milliarde Seitenaufrufe

Die Sicherheitsfirma Confiant führt den auffallenden Anstieg von betrügerischen Online-Anzeigen im Jahr 2017 auf einen Verbund von 28 vorgetäuschten Werbeagenturen zurück. Über diese Fake-Unternehmen wurden nach ihrer Schätzung Inserate mit 1 Milliarde Aufrufen geschaltet. Diese dienten dazu, Nutzer ohne deren eigenes Zutun auf andere Websites umzuleiten. In dieser groß angelegten Operation sieht auch Ars Technica den Grund für die wachsende Flut bösartiger Inserate im letzten Jahr.

Die Umleitungsziele dienten etwa Affiliate-Betrug, Tech-Support-Scams oder dem Einschleusen von Malware. Ziel der Kampagnen waren ausschließlich Desktop-Browser, während Mobilgeräte ausgespart blieben. Dafür waren nicht nur Windows-Anwender im Visier, sondern auch Nutzer, die mit macOS, Chrome OS und sogar Linux unterwegs waren.

Confiant ist auf die Erkennung und das Blockieren von Malvertising spezialisiert, um seriöse Websites und Werbeplattformen vor solchen betrügerischen Werbeformen zu schützen. Der Gruppe hinter den 28 Fake-Agenturen bezeichnet die Sicherheitsfirma mit Zirconium. In Zusammenarbeit mit Partnern in der Werbebranche identifizierte sie eine Strohfirma in Schottland als legale Front der Gruppe, die wiederum von Firmen auf den Seychellen eingerichtet wurde. Den dortigen Hintermännern seien außerdem umfangreiche Online-Betrugsaktivitäten zuzuschreiben – teilweise im Zusammenhang mit Kryptowährungen und der inzwischen von US-Behörden geschlossenen Kryptobörse Btc-e-com.

Die Sicherheitsforscher beschreiben, wie die Fake-Agenturen ab Februar 2017 allmählich aufgebaut, ins Geschäft mit etablierten Werbeplattformen kamen und schließlich auf wöchentlicher Basis 62 Prozent aller werbefinanzierten Websites erreichten. Die betrügerischen Inserate wurden demnach bislang über 20 der Zirconium-Agenturen eingeschleust, während acht weitere inaktiv blieben und offenbar erst zum Einsatz kommen sollten, wenn das tatsächliche Geschäft einzelner Agenturen auffiele.

Einen beachtlichen Aufwand betrieb die Circonia-Gruppe laut Confiant, um ihre Agenturen glaubhaft erscheinen zu lassen. Jede Firma arbeitete beispielsweise mit ihren eigenen Werbeservern. Nicht nur eigene Unternehmens-Websites wurden eingerichtet, sondern auch Social-Media-Plattformen mit laufenden Einträgen bestückt. Als Beispiel führen die Sicherheitsforscher Grandonmedia an, das angeblich seinen Sitz in Stuttgart hat. Als Gründer und CEO der Agentur wurde ein Ferdinand Konrad angegeben – der über ein LinkedIn-Profil sowie ein Twitter-Konto verfügt. Dort wurden laufend Tweets abgesetzt, die sich lesen, als wären sie von Bots generiert.

Die Server der Fake-Agenturen nahmen die erzwungenen Weiterleitungen selektiv vor und versuchten mit Browser-Fingerprint-Techniken einer Erkennung durch Sicherheitsforscher zu entgehen. Der über die Domain MyAdsBro weitergeleitete Traffic aber wurde von der Zirconium-Gruppe weiterverkauft, die bei ihren Käufern weniger wählerisch war. „Besonders beliebt war sie jedoch offensichtlich in der kriminellen Hacker-Szene“, kommentiert Michael Kronawetter in Microsofts National Security Officer-Blog „Etliche Links führen von hier zu Sites, die mit Malware verseuchte Adobe-Flash-Updates, Software-Installer, angebliche Support-Angebote und andere Requisiten von Internet-Betrügern anboten.“

Um Forced Redirects zu unterbinden, sollten Website-Betreiber regelmäßig ihre Seiten überprüfen und unerwünschte Weiterleitungen sofort an die Anzeigennetzwerke melden, empfiehlt Kronawetter. Die etablierten Browser schützten ihre Nutzer inzwischen außerdem mit Funktionen, die automatische Weiterleitungen verhindern sollen. So verbesserte Chrome 64 den Schutz vor unerwünschten Weiterleitungen und ignoriert Redirects, die von iFrames von Drittanbietern ausgehen. Für Chrome 65 sind weitere Schutzmaßnahmen angekündigt.

Bernd Kling

Recent Posts

Sicherheitsvorfall bei Nitro PDF betrifft Microsoft, Google und Apple

Unbekannte stehlen angeblich Datenbanken mit Kundendaten und in der Cloud gespeicherte Dokumente von Nutzern. Bleeping…

11 Stunden ago

Streit um Youtube-Downloader auf GitHub entbrannt

Die RIAA veranlasst die Sperrung von Projekten, die die Bibliothek für einen Youtube-Downloader beinhalten. Nutzer…

13 Stunden ago

Mehr als 7 Millionen Downloads: Avast entdeckt Adware-Apps im Play Store

Insgesamt 21 Apps zeigen unerwünschte und aufdringliche Werbung an. Sie enthalten die Adware HiddenAds. Bis…

15 Stunden ago

KashmirBlack: Botnet attackiert WordPress, Joomla und Drupal

Die Hintermänner nutzen bekannte Schwachstellen in CMS-Plattformen und Plug-ins. Darüber schleusen sie einen Cryptominer ein.…

17 Stunden ago

Hintergrundprozesse: Microsoft beschleunigt Start seines Browsers Edge

Windows 10 lädt Kernprozesse des Browsers bereits beim Start des Betriebssystem. Sie erhalten eine geringe…

19 Stunden ago

Umsatz- und Gewinnrückgang, schwache Prognose: SAPs Aktienkurs bricht ein

Der Überschuss verschlechtert sich um 12 Prozent. Beim Umsatz ergibt sich ein Minus von 4…

20 Stunden ago