Kriminelle setzen verstärkt auf Malvertising

SicherheitSicherheitsmanagementVirus
Palo Alto Networks (Bild: Palo Alto Networks)

Als Beleg dafür sieht Security-Spezialist Palo Alto Networks etwa die im Oktober stattgefundenen Kampagnen gegen AOL und Yahoo. Als eine Gegenmaßnahme fordert er, dass sämtliche Prozesse, die auf das Inter- oder Intranet zugreifen, in die Liste möglicher Angriffsvektoren aufgenommen werden. Auch ein von Palo Alto Networks bereitgestellter Drive‐by‐Download‐Schutz soll helfen.

Palo Alto Networks sieht Malvertising – also den Missbrauch von Onlinewerbung zum Datendiebstahl oder gar der Übernahme von Rechnern – im Aufwind. Als Beleg dafür führt der Security-Anbieter an, dass im vergangenen Oktober mit AOL und Yahoo bereits zwei Internetkonzerne und deren Nutzer von derartigen Kampagnen betroffen waren. Zudem sei Anfang diesen Jahres herausgekommen, dass weitere bekannte Websites, darunter auch FHM und Huffington Post, für Malvertising missbraucht wurden, ohne dass die Betreiber davon etwas mitbekommen haben.

Palo Alto Networks Logo (Bild: Palo Alto Networks)

Laut dem Security-Spezialisten funktioniert eine Malvertising-Kampagne im Einzelnen wie folgt: Ein Angreifer übermittelt einem sogenannten Ad Publisher zunächst seinen Anzeigen‐Programmcode und nennt – genau wie legitime Anzeigenkunden – den höchsten Preis, den er für die Veröffentlichung seiner Werbeanzeige zahlen will. Der Ad Publisher nutzt seinerseits wiederum ein Ad‐Netzwerk, um auf Werbeflächen auf fremden Websites zu bieten. Das Angebot geht in einem automatisierten Prozess an den Meistbietenden. Die Preise betragen in der Regel weniger als einen Dollar. Der Code der gefälschten Anzeige wird im Anschluss auf der Website platziert. Meist positionieren die Angreifer anfangs einige Monate lang Anzeigen mit sauberem Code, um sich das Vertrauen aller Beteiligten zu erschleichen.

Palo Alto Networks zufolge werden für Malvertising auf nahezu jeder Website Werbeflächen genutzt, die als Hosting‐Plattform für Drittanbieter‐Werbung dienen. Wird die Anzeige auf der entsprechenden Seite geladen, beginnt gleichzeitig der Download und die Installation von Malware (Drive-by-Download), die laut dem Sicherheitsanbieter beispielsweise in Form von Ransomware daherkommen kann.

Konsequenzen hätten die Verantwortlichen jedoch in den seltensten Fällen zu befürchten, da die zugehörige Hosting‐Website keine Kontrolle über die Anzeigen habe. Angreifer nutzten die Werbenetzwerk‐Funktionen mit ihren niedrigen Preisen und automatischen Bieterverfahren, um sich das Potenzial sehr großer Zielgruppen zu erschließen, die sich über vermeintlich vertrauenswürdige Quellen – wie eben AOL oder Yahoo – erreichen lassen.

Palo_Alto_Networks_Thorsten_Henning (Bild: Palo Alto Networks)
Thorsten Henning von Palo Alto Networks sieht den Trend, dass “Angreifer dazu übergehen, Schwachstellen in alltäglichen Geschäftsprozessen für ihre unlauteren Zwecke zu nutzen” (Bild: Palo Alto Networks).

“Die Zeiten, in denen Malware nur auf zwielichtigen Websites präsent war, sind vorbei. Cyber‐Bedrohungen agieren heute in freier Wildbahn, versteckt auf echten Websites, denen wir vertrauen und die wir häufig besuchen. Die Angreifer arbeiten mit Methoden, die ehrliche Leute absichtlich geschaffen haben, um Geschäftspotenziale zu erschließen. Angreifer gehen dazu über, Schwachstellen in alltäglichen Geschäftsprozessen für ihre unlauteren Zwecke zu nutzen”, erläutert Thorsten Henning von Palo Alto Networks.

Damit dem Malvertising‐Problem entgegengetreten werden kann, fordert er eine koordinierte Anstrengung von Werbenetzwerken und Publishern, aber auch mehr Druck von Seiten der Websites, die den Anzeigen Werbefläche bieten. Eine simple No‐Click‐Regel sei für den Schutz der Anwender aber nicht genug, da einige Malvertisements, genau wie Pop‐ups, keinerlei Interaktion erforderten und zudem kaum von legitimen Werbeanzeigen zu unterscheiden seien. Daher offeriert der Security-Anbieter auch selbst einige Verfahren, um Malvertising‐Angriffe zu verhindern oder zumindest einzudämmen.

Laut Henning sollten zudem sämtliche Prozesse, die auf das Inter- oder Intranet zugreifen, in die Liste möglicher Angriffsvektoren aufgenommen werden. In dem Kontext empfehle es sich, sich in die Rolle des Hackers zu versetzen und zu überlegen, wie man vorgehen würde, um im Anschluss Schutzmaßnahmen gegen diese potenziellen Angriffstaktiken ergreifen zu können.

Ein Drive‐by‐Download‐Schutz warnt Anwender etwa, wenn aktuell ein Download‐Versuch stattfinden soll, bei dem automatisiert Malware heruntergeladen werden könnte. Der Nutzer hat dann die Wahl, den Prozess entweder zu blockieren oder dennoch anzustoßen. File‐Blocking‐Profile sollen zudem die Arten herunterladbarer Dateien ausschließlich auf erforderliche oder vom Nutzer erwartete Dateien einschränken. Antiviren‐Dienste oder URL‐Filter sollten ebenfalls zum Abwehrarsenal gehören. Palo Alto Networks nutzt zudem die Gelegenheit, um auf seinen Abo‐Dienst Traps hinzuweisen, der die Installation der bei einem Drive-by-Download heruntergeladenen Malware verhindern soll.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen