Trojaner über gekaufte Anzeigen verteilt

Es häufen sich Berichte, nach denen Kriminelle immer häufiger Online-Anzeigen nutzen, um ihren Schadcode zu verbreiten. Interessant ist vor allem, dass sie die dafür genutzten Werbeplätze offenbar regulär kaufen.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Lesezeit: 3 Min.

Rund 96 Prozent der Opfer der Trojaner-Anzeige lokalisiert Trend Micro in den USA.

(Bild: Trend Micro)

Antiviren-Spezialist Trend Micro berichtet über eine Kampagne, bei der Kriminelle offenbar prominente Anzeigeplätze gekauft haben. Sie leiteten damit dann Surfer auf Web-Seiten, die ihre Systeme gezielt mit Schad-Software infizieren. Trend Micro entdeckte diese Anzeigen etwa auf einer Youtube-Seite mit einem Musik-Video, das 11 Millionen Mal abgerufen wurde. Die Sicherheitsfirma Invincea will sogar gezielte Angriffe über die immer weiter verbreiteten Echtzeit-Auktionen zu Werbeplätzen – das so genannte Real Time Bidding – entdeckt haben.

Die von Trend Micro beobachtete Malware-Kampagne konzentriert sich vor allem auf die USA, wo sie rund 96 Prozent der über 100.000 Betroffenen ausmachten. Der Angriff erfolgte durch das Exploit Kit Sweet Orange, das insbesondere bekannte Sicherheitslücken in veralteten Versionen des Internet Explorer, Flash und Java ausnutzt, um Schadsoftware aus dem Internet nachzuladen und zu installieren. Anwender, die ihr System auf dem aktuellen Stand halten, waren laut Trend Micro nicht betroffen.

Noch raffinierter gehen Kriminelle vor, die sich laut Invincea in der Operation "DeathClick" ihre Opfer ganz gezielt aussuchen und etwa PCs attackieren, deren IP-Adresse zu Bereichen von Rüstungsfirmen gehört. Dazu nutzen sie angeblich das Real Time Bidding, bei dem die Anzeigenplätze in Echtzeit versteigert werden. Die Anzeigenkunden geben dabei vorab ein Maximalgebot für die Platzierung ihrer Anzeige ab. Beim Laden der Seite gewinnt dann der Höchstbietende und seine Anzeige wird in die Seite eingebettet. Wie bei einer eBay-Auktion zahlt er dafür nicht sein Höchstgebot, sondern immer nur den benötigten Betrag, um den Zweitplatzierten zu überbieten. Besonders attraktiv ist diese Werbeform, weil der Werbetreibende in vielen Fällen Kriterien definieren kann, die seine Zielgruppe erfüllen muss.

Real Time Bidding ist der Wachstumsmarkt für Online-Werbung; laut Branchen-Insidern laufen etwa in den USA oft schon bis zu 90 Prozent großer Anzeigenbudgets über diesen Kanal. In Deutschland ist der Anteil am Online-Werbemarkt zwar noch relativ klein, er wächst aber deutlich. Die von Invincea geschilderten Angriffe sind grundsätzlich durchaus möglich, weil insbesondere in den USA ein sehr weitgehendes Targeting durch den Bieter möglich ist.

Allerdings weist der Bericht auch einige Ungereimtheiten auf, die Zweifel wecken. So spricht Invincea anfangs zwar von sehr gezielten Attacken auf Firmen im Rüstungsbereich. Die dann tatsächlich beschriebenen Fallbeispiele passen jedoch überhaupt nicht zu diesem Szenario. So wurde etwa in einem der Fälle ein Trojaner für Klickbetrug installiert. Es stellt sich die Frage, warum jemand dafür gezielt bei einem Rüstungskonzern einbrechen sollte. Zum Schutz vor "gezieltem Malvertising" empfiehlt Invincea übrigens seine eigenen Produkte und Dienstleistungen. (ju)