Malvertising: Fake-Agenturen erzielen 1 Milliarde Seitenaufrufe

Die Sicherheitsfirma Confiant führt den auffallenden Anstieg von betrügerischen Online-Anzeigen im Jahr 2017 auf einen Verbund von 28 vorgetäuschten Werbeagenturen zurück. Über diese Fake-Unternehmen wurden nach ihrer Schätzung Inserate mit 1 Milliarde Aufrufen geschaltet. Diese dienten dazu, Nutzer ohne deren eigenes Zutun auf andere Websites umzuleiten. In dieser groß angelegten Operation sieht auch Ars Technica den Grund für die wachsende Flut bösartiger Inserate im letzten Jahr.

Die Umleitungsziele dienten etwa Affiliate-Betrug, Tech-Support-Scams oder dem Einschleusen von Malware. Ziel der Kampagnen waren ausschließlich Desktop-Browser, während Mobilgeräte ausgespart blieben. Dafür waren nicht nur Windows-Anwender im Visier, sondern auch Nutzer, die mit macOS, Chrome OS und sogar Linux unterwegs waren.

Confiant ist auf die Erkennung und das Blockieren von Malvertising spezialisiert, um seriöse Websites und Werbeplattformen vor solchen betrügerischen Werbeformen zu schützen. Der Gruppe hinter den 28 Fake-Agenturen bezeichnet die Sicherheitsfirma mit Zirconium. In Zusammenarbeit mit Partnern in der Werbebranche identifizierte sie eine Strohfirma in Schottland als legale Front der Gruppe, die wiederum von Firmen auf den Seychellen eingerichtet wurde. Den dortigen Hintermännern seien außerdem umfangreiche Online-Betrugsaktivitäten zuzuschreiben – teilweise im Zusammenhang mit Kryptowährungen und der inzwischen von US-Behörden geschlossenen Kryptobörse Btc-e-com.

Die Sicherheitsforscher beschreiben, wie die Fake-Agenturen ab Februar 2017 allmählich aufgebaut, ins Geschäft mit etablierten Werbeplattformen kamen und schließlich auf wöchentlicher Basis 62 Prozent aller werbefinanzierten Websites erreichten. Die betrügerischen Inserate wurden demnach bislang über 20 der Zirconium-Agenturen eingeschleust, während acht weitere inaktiv blieben und offenbar erst zum Einsatz kommen sollten, wenn das tatsächliche Geschäft einzelner Agenturen auffiele.

Einen beachtlichen Aufwand betrieb die Circonia-Gruppe laut Confiant, um ihre Agenturen glaubhaft erscheinen zu lassen. Jede Firma arbeitete beispielsweise mit ihren eigenen Werbeservern. Nicht nur eigene Unternehmens-Websites wurden eingerichtet, sondern auch Social-Media-Plattformen mit laufenden Einträgen bestückt. Als Beispiel führen die Sicherheitsforscher Grandonmedia an, das angeblich seinen Sitz in Stuttgart hat. Als Gründer und CEO der Agentur wurde ein Ferdinand Konrad angegeben – der über ein LinkedIn-Profil sowie ein Twitter-Konto verfügt. Dort wurden laufend Tweets abgesetzt, die sich lesen, als wären sie von Bots generiert.

Die Server der Fake-Agenturen nahmen die erzwungenen Weiterleitungen selektiv vor und versuchten mit Browser-Fingerprint-Techniken einer Erkennung durch Sicherheitsforscher zu entgehen. Der über die Domain MyAdsBro weitergeleitete Traffic aber wurde von der Zirconium-Gruppe weiterverkauft, die bei ihren Käufern weniger wählerisch war. „Besonders beliebt war sie jedoch offensichtlich in der kriminellen Hacker-Szene“, kommentiert Michael Kronawetter in Microsofts National Security Officer-Blog „Etliche Links führen von hier zu Sites, die mit Malware verseuchte Adobe-Flash-Updates, Software-Installer, angebliche Support-Angebote und andere Requisiten von Internet-Betrügern anboten.“

Um Forced Redirects zu unterbinden, sollten Website-Betreiber regelmäßig ihre Seiten überprüfen und unerwünschte Weiterleitungen sofort an die Anzeigennetzwerke melden, empfiehlt Kronawetter. Die etablierten Browser schützten ihre Nutzer inzwischen außerdem mit Funktionen, die automatische Weiterleitungen verhindern sollen. So verbesserte Chrome 64 den Schutz vor unerwünschten Weiterleitungen und ignoriert Redirects, die von iFrames von Drittanbietern ausgehen. Für Chrome 65 sind weitere Schutzmaßnahmen angekündigt.