Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Malvertising in neuen Dimensionen : DeceptionAds verlockt täglich Millionen

Die neue Malvertising-Kampagne DeceptionAds läuft nach einem ähnlichen Prinzip, wie es von ClickFix bekannt ist: Auch hier wird ein manipuliertes Werbenetzwerk genutzt, um Menschen über schädliche Werbung auszutricksen und ihre Daten zu stehlen. Einige fiese Aspekte des Angriffs sind jedoch Neuland.

Bedrohungen
Lesezeit 2 Min.

Die Kampagne „DeceptionAds“ nutzt ein einziges Werbenetzwerk, um sich zu verbreiten, und verdeutlicht damit die Grundprinzipien von Malvertising: Innerhalb von zehn Tagen wurden täglich über eine Million Anzeigen ausgespielt. „Dadurch wurden Tausende Opfer täglich auf gefälschte Webseiten umgeleitet, wo sie am Ende Konten und Geld verloren. Diese schädlichen Aktivitäten basierten auf einem Netzwerk von mehr als 3.000 Websites, die den Datenverkehr gezielt lenkten“, so Nati Tal, Leiter der Guardio Labs.

Bei ähnlichen Angriffen, die in den letzten Monaten von verschiedenen Cybersicherheits-Anbietern beobachtet wurden, werden Besucher von Websites mit illegalen Inhalten wie Raubkopien auf manipulierte CAPTCHA-Seiten geleitet. Dort werden sie aufgefordert, einen speziellen Befehl zu kopieren und auszuführen. Dieser Befehl, verschlüsselt in Base64, aktiviert Datenklau-Programme wie „Lumma“.

Die Angriffe gehen inzwischen über die Aktivitäten einzelner Gruppen hinaus. Laut Proofpoint haben mehrere Bedrohungsakteure raffinierte Social-Engineering-Tricks übernommen, um schädliche Software wie Fernzugriffstrojaner, Informationsdiebstahlprogramme und fortschrittliche Werkzeuge wie „Brute Ratel C4“ zu verbreiten.

Monetag als Ausgangsbasis

Guardio Labs hat herausgefunden, dass die Kampagne ihren Ursprung bei Monetag hat, einer Plattform, die verschiedene Werbeformate zur Monetarisierung von Websites und sozialen Medien anbietet. Die Angreifer nutzen auch Dienste wie BeMob, um ihre Aktivitäten zu verschleiern. Bei Infoblox wird Monetag auch unter den Namen Vane Viper und Omnatuor verfolgt.

Der Ablauf der Kampagne ist einfach: Die Angreifer melden sich bei Monetag als Website-Besitzer an. Der Datenverkehr ihrer Seiten wird dann über ein vom Werbenetzwerk betriebenes Traffic Distribution System (TDS) gesteuert, das Besucher auf manipulierte CAPTCHA-Seiten weiterleitet. Dort beginnt der Angriff, indem die Nutzer zu schädlichen Aktionen verleitet werden.

Die Angreifer nutzten eine clevere Methode, um die Moderation von Monetag zu umgehen: Anstatt Nutzer direkt auf die gefälschten CAPTCHA-Seiten zu leiten, verwendeten sie zunächst scheinbar harmlose BeMob-URLs. Deren Reputation gilt auch bei Monetag als einwandfrei und so passierten sie klaglos deren Anzeigenverwaltungssystem. Anschließend leitete das BeMob-System die Besucher aber auf die bösartigen CAPTCHA-Seiten um, die auf Plattformen wie Oracle Cloud, Scaleway, Bunny CDN, EXOScale und Cloudflare R2 gehostet wurden.

Laut Guardio Labs wird diese Kampagne, die sowohl Monetag als auch BeMob ausnutzt, vermutlich von einem einzigen Akteur betrieben. Dieser nutzt die Infrastruktur solcher populären Netzwerke, um eine große Anzahl von Opfern zu erreichen. Dabei setzt die Kampagne auf verschiedene gefälschte CAPTCHA-Seiten, die ausschließlich über Malvertising verbreitet werden.

Nach einer verantwortungsvollen Offenlegung der Angriffe haben Monetag und BeMob bis Ende November 2024 über 200 verdächtige Konten entfernt, die mit den Angreifern in Verbindung standen. Dennoch gibt es Anzeichen, dass die Kampagne seit dem 5. Dezember erneut aktiv ist. Dies verdeutlicht die Dringlichkeit besserer Moderation und Kontoprüfungen, um Missbrauch zu verhindern.

Die Kampagne zeigt, wie leicht legitime Werbenetzwerke für bösartige Zwecke missbraucht werden können. Sie reicht von betrügerischen Webseiten mit Raubkopien oder Clickbait-Inhalten über komplexe Weiterleitungen bis hin zu Tarntechniken. „Das Ergebnis ist eine fragmentierte Kette von Verantwortlichkeiten, bei der Werbenetzwerke, Publisher, Anzeigenstatistikdienste und Hosting-Provider jeweils eine Rolle spielen – aber keiner will die Verantwortung übernehmen“, so Nati Tal.

Diesen Beitrag teilen: