Augen auf beim Bannerkauf: Googles Werbedienst zur Malwareverbreitung missbraucht

10.04.2015
G DATA Blog

Der aktuelle Fall der Malwareverbreitung durch Google AdSense Werbebanner zeigt eindrucksvoll, wie schnell eine immense Anzahl von Internetseiten weltweit in Cyberattacken involviert werden kann. Offenbar wurde ein Zulieferer des Werbenetzwerkes kompromittiert. Die Angreifer lieferten das Nuclear Exploit-Kit aus und planten so Millionen von Nutzern mit Malware infizieren. Nuclear verwendet seit Mitte März einen Exploit für eine recht neue Sicherheitslücke im Adobe Flash Player, die auf vielen Rechnern offensichtlich noch nicht geschlossen ist. Die innovative G DATA Exploit Protection hat die Angriffe ab der ersten Sekunde verhindert.

Malvertising

Angriffe dieser Art werden in der Fachsprache Malvertising genannt, eine Zusammensetzung aus Malware (deutsch: Schadprogramm) und Advertising (deutsch: Werbung). Die Verbreitung von Werbung im Internet wird ein immer größeres und lukrativeres Geschäft. Fast jede moderne Webseite hat Werbebanner integriert und je populärer eine Seite ist, desto mehr Geld lässt sich mit den Einblendungen verdienen. Deshalb lohnt es sich für Cyber-Angreifer auch, diese legitimen Funktionen für sich zu missbrauchen. Einem Werbegigant wie Google Ads Malware unterzujubeln ist dabei für die Angreifer ein ganz großer Coup: Laut Google-eigenen Angaben setzen zwei Millionen Publisher jeder Größe auf AdSense! Publisher sind in diesem Fall Webseitenbetreiber, die dem Dienst Werbefläche auf ihrer Seite zur Verfügung stellen.

Als Webseitenbetreiber hat man die Möglichkeit aus einer Vielzahl von Werbeanbietern zu wählen, um durch eingeblendete Inhalte Geld zu verdienen. Immer wieder gibt es Berichte darüber, dass Server von Anbietern gehackt wurden und anstelle von reiner Werbung auch Schadcode ausgeliefert wurde. Daher heißt es: Augen auf, beim Bannerkauf!

Google AdSense gilt ohne Zweifel als einer der größten Werbenetzwerke und hat eine dementsprechende Reputation, daher verlassen sich sehr viele Webseitenbetreiber auf diesen Dienst: Rund 12% der 100.000 populärsten Webseiten benutzen Google AdSense als Werbemedium für themengerechte Einblendungen. Dementsprechend hoch ist dann aber auch die Trefferzone für Angreifer, wenn sie es schaffen, sich in einen solchen Dienst einzuschleichen. 

Was ist ein Exploit-Kit?

Ein Exploit-Kit ist ein Tool das, je nach Ausführung, eine Vielzahl von unterschiedlichen Angriffen auf Schwachstellen (Exploits) enthält und als Angriffsinstrument dient. Besucht ein Nutzer eine manipulierte Webseite, wird mit Hilfe des Exploit-Kits die Konfiguration des PCs auf angreifbare Anwendungen hin überprüft (Browser, Software, OS, …). Findet sich in der ausgelesenen Konfiguration eine Schwachstelle oder gar mehrere, wird ein passender Exploit an den Client gesendet, der die gefundene Sicherheitslücke ausnutzt, um danach unbemerkt z.B. weiteren Schadcode auf den angreifbaren Rechner zu laden (Drive-by-Infektion).

So funktionierte die aktuelle Infektionskette

  • Auf einer Webseite wurde mit Hilfe von Google AdSense eine Anzeigenfläche reserviert; ein ganz normaler Vorgang.
  • Der zu ladende Werbebanner wird durch die Google AdSense Server bestimmt. Sie liefern dazu ein JavaScript in die Anzeigenfläche. Dieses Script lädt den darzustellende Inhalt von einem Werbepartner nach, in diesem Fall von engagelab.com. Auch dies ist ein ganz normaler Vorgang.
  • Doch dieser Code enthielt im aktuellen Fall eine Referenz (einen IFrame) auf eine bösartige Adresse auf einem weiteren Server. 
  • Dieser IFrame wird in der Anzeigenfläche der Webseite geladen und das potentielle Opfer ist somit dem Exploit-Kit ausgesetzt.

Die Auswirkung des Falls für Internetnutzer

Diese Mischung wird sehr explosiv, in diesem Fall sogar „nuklear“, wenn man so will. Die Angreifer entschieden sich dazu, das Exploit-Kit namens Nuclear gegen die Besucher der Webseiten einzusetzen. Dieses Exploit-Kit ist im Untergrund für etwa 1.500 USD zu erwerben. Nuclear bedient sich seit etwa Mitte März eines Exploits gegen das Programm Adobe Flash, welcher Sicherheitsexperten als CVE-2015-0336 bekannt ist. Die Auswertungen der G DATA SecurityLabs zeigen deutlich, dass das Exploit-Kit seit der Integration dieses Exploits erfolgreicher in seinen Angriffen geworden ist: Die Zahl der abgewehrten Angriffe nimmt zu und erreicht am 07.04. seinen zwischenzeitlichen Höhepunkt, als der Schadcode über die Google Ads verteilt wurde:

Die Sicherheitslücke, die in CVE-2015-0336 beschrieben ist, wurde bereits im Dezember des vergangenen Jahres registriert. Augenscheinlich gab es jedoch bis zur Veröffentlichung des Patches durch Adobe und die damit im Zusammenhang stehende Veröffentlichung von Details zur Sicherheitslücke keine Ansatzpunkte für die Cyberkriminellen hinter dem Nuclear Exploit-Kit die Sicherheitslücke auszunutzen. Bereits eine Woche später tauchte ein passender Schadcode in diesem Kit auf.

Auf Systemen, die auf dem neuesten Stand sind, also den Patch vom 12.03. installiert haben, liefen und laufen die Angriffe ins Leere. Im Firmenumfeld bieten sogenannte Patch-Management-Lösungen eine komfortable Möglichkeit alle Firmenrechner auf dem neuesten Stand zu halten.

Lange Zeit galt für Firmenrechner ‚never change a running system‘. Diese Einstellung ist für Angreifer das Eldorado

, bewertet Ralf Benzmüller die Situation.

Nur wer die Software und das Betriebssystem seiner Rechner auf dem neuesten Stand hält, ist gegen solche Angriffe gewappnet.

Mindestens alle PCs, die nach dem 19.03. nicht den bereitgestellten Patch installiert hatten, waren in diesem Fall durch das Nuclear Exploit-Kit angreifbar – egal ob Privatrechner oder PCs im Businessumfeld. In den meisten Fällen erfolgen die Angriffe über Sicherheitslücken, die schon längst geschlossen sind. So auch in diesem Fall.

Diese aktuelle Malvertising-Kampagne spielte Berichten zur Folge nach dem erfolgreichen Exploit den „Pony Loader“ auf die angegriffenen Rechner. Dieser wird von den G DATA Sicherheitslösungen als Gen:Variant.Graftor.182875 erkannt und blockiert. Der Downloader lädt dann beliebige weitere Schaddateien auf den PC nach.

G DATA Exploit Protection schützte ab der ersten Sekunde

Reaktive Schutztechnologien, wie Viren-Signaturen, sind gegen einen Exploit nur bedingt hilfreich, denn durch ihre Natur nur reaktiven Schutz zu bieten, haben sie in diesem Fall oftmals eine zu lange Reaktionszeit. Für einen effektiven Schutz sind in diesem Fall proaktive Technologien, zusätzlich zu einem ordentlichen Patch-Management, unerlässlich! Das Einspielen von Updates und Patches wirkt sich positiv auf den Schutz des Rechners aus, denn nur durch sie können bekannte Sicherheitslücken effektiv geschlossen werden. 

Die G DATA Exploit Protection ist eine solche proaktive Schutzkomponente, die die Infektion durch das Nuclear Exploit-Kit unterbunden hat. Diese besondere Schutzkomponente sichert Benutzer auch gegen zuvor unbekannte Angriffe ab, sogenannte Zero-Day Attacken.

Zusammengefasst bedeutet das für Sie:

  • Eine aktuelle und umfassende Sicherheitslösung mit einem Schadcodescanner, einer Firewall sowie Web- und Echtzeitschutz gehören zur Grundausstattung. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails ist ebenfalls sinnvoll. Proaktive Schutztechnologien, wie G DATA BankGuard, die G DATA Exploit Protection und Co. runden das Sicherheitspaket ab.
    Tipp für Firmennetzwerke: Die G DATA Unternehmenslösungen bieten G DATA PatchManagement als Zusatzmodul an. 
  • Das installierte Betriebssystem, die Software, der Browser und seine Komponenten sowie die installierte Sicherheitslösung sollten immer auf dem aktuellen Stand gehalten werden. Programm-Updates sollten umgehend installiert werden, um bestehende Sicherheitslücken zu schließen. 
  • Es ist ratsam, im benutzten Webbrowser die Ausführung von Plug-Ins, Skripten und meist auch Werbungsinhalten standardmäßig zu deaktivieren und diese nur gezielt zu starten. Dies kann in den Einstellungen vorgenommen oder mit entsprechenden Browser-Erweiterungen erzielt werden.

Die besten Beiträge per Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar