Vermeintliche Lidl-Werbung als Malvertising enttarnt

MarketingWerbung
Lidl-Werbung Januar 2016 (Screenshot: ITespresso)

Die Hintermänner wollten damit offenbar gezielt deutsche Nutzer von MSN angreifen. Die Werbematerialien stammen aus echten Lidl-Anzeigen für aktuelle Produkte. Die diesen Monat über die Plattform AdSpirit ausgelieferte Kampagne lockte Nutzer jedoch auf malware-verseuchte Websites.

Kriminelle haben in den vergangenn Tagen mit einer Malvertising-Kampagne gezielt deutsche Nutzer angegriffen. Sie missbrauchten dazu echte Anzeigenmotive des Discounters Lidl. Die lieferten sie in dann über die Plattform AdSpirit insbesondere auf MSN aus. Darauf hat jetzt Malwarebytes hingewiesen.

Malwarebytes (Grafik: Malwarebytes)

Nutzer, die auf die vermeintliche Lidl-Anzeige klickten, landeten allerdings nicht auf der Website des Discounters, sondern auf den Domains getkampagnen.com und norgren.top beziehungsweise my-tracker.space und gamergrad.top. Darüber wurden ihre Rechner dann mit dem dort befindlichen, seit 2014 bekanntem RIG Exploit-Kit einerseits und dem sogar seit 2013 in Umlauf befindlichen Neutrino Exploit-Kit andererseits auf Schwachstellen untersucht und gegebenenfalls infiziert.

“Die einzige Überraschung hier war vielleicht, dass wir andere Exploit-Kits als übliche Angler-Exploit-Kit vorgefunden haben”, merkt Malwarebytes etwas süffisant an. Es spielt damit darauf an, dass es bereits früher Malvertising-Kampagnen sowohl beim Microsoft-Angebot MSN als auch bei der Werbeplattform AdSpirit festgestellt hat. “Jedes Mal sprangen uns verdächtige Aktivitäten von Werbekunden mit erst ein paar Tage vor Beginn der Kampagne registrierten Domains, die sich hinter einem Service von CloudFlare versteckten, sprichwörtlich ins Auge”, berichtet Malwarebytes.

Eine der für die Malvertising-Kampagne verwendeten, gefälschten, Lidl-Anzeigen bei MSN (BIld: Malwarebytes).
Eine der für die Malvertising-Kampagne verwendeten, gefälschten, Lidl-Anzeigen bei MSN (BIld: Malwarebytes).

CloudFlare ist eigentlich ein Dienst, der Firmen helfen soll, sich vor DDoS-Attacken zu schützen. Er wird aber immer wieder von Kriminellen verwendet, um ihre Aktivitäten zu verschleiern. Der US-Anbieter hat es bisher abgelehnt, die Aktivitäten seiner Kunden von sich aus zu überprüfen. Mit dem Hinweis, dass die Kampagne regelrecht “ins Auge gesprungen” sei, kritisiert der Security-Anbieter auch das Werbenetzwerk AdSpirit, dem er so eine Mitverantwortung unterstellt, seine Kunden zumindest ansatzweis auf Seriosität zu überprüfen.

Besonders gefährlich war die Kampagne, weil bei ihr nicht wie in der Vergangenheit mehr oder weniger gut gemachte “eigene” Werbeformate der Kriminellen verwendet oder auf fiktive Angebote hingewiesen wurde, sondern scheinbar Produkte “beworben” wurden, die wie in der “Anzeige” angepriesen, tatsächlich ab dem 18. Januar bei Lidl in die Filialen kamen. Die Kriminellen verwendet dazu auch Bilder, die sie offenbar von der Lidl-Website kopiert hatten. Es ist davon auszugehen, dass sie so die Erfolgswahrscheinlichkeit deutlich erhöhen konnten, da viele Nutzer die Motive bereits aus dem Prospekt respektive von echten Lidl-Anzeigen oder der Website des Discounters her gekannt haben.

Lidl-Werbung Januar 2016 (Screenshot: ITespresso)
In der über AdSpirit auf MSN verteilten Malvertising-Kampagne wurde auch dieses von der Lidl-Website kopierte Bild verwendet. Der abgeibldete Akkubohrschrauber wird seit Montag tatsächlich bei Lidl angeboten (Screenshot: ITespresso).
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen