Malvertising: Angriffe auf Revive Adserver
Die Sicherheitsfirma Confiant warnt vor gehackten Werbeservern. Über falsche Flash-Updates sollen Nutzer infiziert werden.
(Bild: asharkyu/Shutterstock.com)
Mit einer Malvertising-Kampagne versucht eine Gruppe von Angreifern, Rechner von Endnutzern mit Malware zu infizieren. Laut der auf solche Angriffe spezialisierten Firma Confiant sind insgesamt 60 Werbeserver betroffen.
Die "Tag Barnakle" getaufte Kampagne läuft laut dem Bericht von Confiant mindestens seit acht Monaten. Erste Anzeichen habe man im August 2019 gefunden. Dem Bericht nach haben sich die Angreifer veraltete Installationen des Adservers Revive zunutze gemacht, um alte Sicherheitslücken auszunutzen und sich auf Dauer einzunisten.
Vorsicht vor "Flash-Updates"
Haben die Angreifer die Kontrolle über die Werbeserver übernommen, liefern sie zusätzlich zu der eigentlich verteilten Werbung noch ein getarntes Schadscript aus, das Inhalte von einer neuen Domain abruft. Darüber werden dann Inhalte eines Werbenetzwerkes ausgeliefert, das für die Verbreitung von Malware berüchtigt sei. Üblicherweise wird den Nutzern ein Banner angezeigt, das sich als Flash-Update ausgibt und den Nutzer zur Installation eines Programms verleiten will. Welche Schadsoftware bei den Nutzern konkret installiert werden soll, ist dabei unklar.
Die Angreifer unternehmen zumindest minimale Anstrengungen, ihre Aktivitäten zu verbergen. Über Cookies wird sichergestellt, dass die Malware nicht zu oft bei Nutzern angezeigt wird – zudem prüft das Schadscript, ob der Nutzer die Entwicklerkonsole geöffnet hat.
Übers Web gestreut
Wie verbreitet die Schadsoftware ist, steht noch nicht fest. "Wir haben die Aktivität aus erster Hand auf 360 verschiedenen Websites beobachtet", schreibt Eliya Stein von Confiant. Da Adserver auf Werbemärkten mit Programmatic Advertising ihre Inhalte mitunter auf Tausenden verschiedener Websites ausspielen, ist das genaue Ausmaß der Attacke nicht absehbar. Bei einem der gehackten Server sahen die Spezialisten von Confiant 1,25 Millionen Anzeigenabrufe pro Tag.
Obwohl die Verteilung von Malware über Pseudo-Anzeigen seit Jahren konstant ein Problem ist, sind direkte Attacken auf Adserver relativ selten. Stattdessen konzentrieren sich die Angreifer meist auf andere Ziele wie Wordpress-Installationen oder versuchen die Schadsoftware über gefälschte oder gehackte Accounts über etablierte Werbemarktplätze zu verteilen. (olb)
