Besuchern bekannter Web-Seiten droht Cyber-Attacke

Eine neue Angriffswelle nutzt Anzeigen auf stark frequentierte deutschsprachigen Seiten, um Nutzer mit einem Exploit-Kit zu infizieren.

Webseiten wie ebay.de, t-online.de, Arcor, Südwest Presse (swp.de), Fischkopf.de und Donaukurier sind laut Malwarebytes, einem IT-Sicherheitsanbieter, opfer einer neuen Malvertising-Kampagne. Vermutlich liegt die Zahl der angegriffenen Seiten noch deutlich höher liegen. Besuchern dieser Sites droht eine Infektion mit dem Exploit-Kit Angler und Neutrino.

Wie Malwarebytes mitteilt gelang es den Kriminellen sich das Vertrauen eines angesehenen Anzeigennetzwerkes zu gewinnen, zu der laut Blog auch die Ad-Serving-Plattform MP NewMedia gehört. Die Sicherheitsexperten haben zwei betrügerische Ad-Server identifiziert, die eine ähnliche Struktur aufweisen wie die legitime deutsche Plattform, die sie missbrauchten. Da auch weitere Ad-Server infiziert sein könnten, warnt der Sicherheitsanbieter Nutzer zu besonderer Vorsicht.

Über diese Server konnten sich die Angreifer in ein Ad-Serving-Netzwerk einbuchen und so die Schadosoftware über Anzeigen auf Ebay oder T-Online ausrollen. (Bild: Malwarebytes)
Über diese Server konnten sich die Angreifer in ein Ad-Serving-Netzwerk einbuchen und so die Schadosoftware über Anzeigen auf Ebay oder T-Online ausrollen. (Bild: Malwarebytes)

Die zugehörigen Domains lauten deutschlandauto.xyz/deliver2/deliver2?kampagnen=30 und deutschewelle.pw/deliver2/deliver2?kampagnen=30. Sie wurden einen Tag vor dem Start der Malvertising-Kampagne registriert. Die für den Administrator angegebene E-Mail-Adresse “ipsec@ihateclowns.com” ist ganz offensichtlich unglaubwürdig. Gemäß des für jede Attacke verwendeten Unique Identifier bezeichnet Malwarebytes die Angriffswelle einfach als “Kampagnen”.

Das Sicherheitsunternehmen hat nach eigenen Angaben alle erwähnten Website-Betreiber und Anzeigennetzwerke über den Angriff informiert. MP NewMedia erklärte ihm gegenüber, dass man das Problem identifiziert und behoben habe. Malwarebytes zufolge könnte die Kampagne aber über andere Werbenetzwerke weiterlaufen.

Rechner von Nutzern, die auf schädliche Anzeigen treffen, werden mit dem weit verbreiteten Exploit-Kit Angler infiziert, das Exploits für viele bekannte Sicherheitslücken enthält. Angreifer können auf diese Weise verschiedene Schadsoftware in das System einschleusen. Daher sollten Anwender darauf achten, dass ihr System sowie die installierte Sicherheitssoftware stets auf dem neuesten Stand sind.

Eine ähnliche Malvertising-Kampagne hatte Malwarebytes schon im September entdeckt. Sie missbrauchte unter anderem in der EMEA-Region das Werbenetzwerk der Google-Tochter DoubleClick. Gefährliche Anzeigen fanden sich auch auf legitimen Websites von Ebay UK und des britischen Mobilfunkanbieters TalkTalk. Auch hier gelang es den Kriminellen, sich als legitime Werbetreibende auszugeben. Damals wurde über den Umweg über das Angler-Exploit-Kit unter anderem Ransomware auf den Rechnern der Opfer installiert.

Malwarebytes zufolge sind derartige Malvertising-Kampagnen erfolgreich, weil die Werbetreibenden ihre Inhalte über ihre eigenen Systeme bereitstellen dürfen. Auf diese Weise behalten sie die vollständige Kontrolle über die Auslieferung ihrer Anzeigen und haben eine direkte Verbindung zu den Nutzern, die ihre Werbung anklicken.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de