Doch nicht nur Werbetreibende machen sich diese Methode zunutze, um möglichst viele Internet-User zu erreichen. Längst haben auch Kriminelle die Vorteile von Onlinewerbung für sich entdeckt und nutzen gezielt Werbeanzeigen für die Verbreitung von Schadsoftware. Der aktuellste Angriff betrifft mehr als 10.000 gehackte WordPress-Seiten. Das versetzte selbst die Sicherheitsexperten unseres strategischen Partners Check Point in Erstaunen.
Check Point Research deckt großflächige Malvertising-Kampagne auf
Im Sommer 2018 veröffentlichte Check Point eine Studie, in der sie nachweisen konnten, dass Tausende WordPress-Seiten gehackt wurden. Die Kriminellen nutzten sie als Teil eines weitverzweigten Netzwerkes zur Verbreitung von Schadsoftware. Malvertising war in diesem Fall das Mittel der Wahl. In der Studie, die das IT-Sicherheitsunternehmen Check Point hierzu veröffentlichte, warnen die Experten eindringlich vor den Gefahren des Malvertisings. Innerhalb von nur einer Woche registrierten sie im Rahmen ihrer Untersuchungen mehr als 40.000 Klicks ahnungsloser Nutzer auf infizierte Werbeanzeigen. Hier lauerten u.a. Cryptominer, Ransomware und Banking Trojaner.
Was ist Malvertising?
Der Begriff setzt sich aus den beiden englischen Wörtern malicious (schädlich) und advertising (Werbung) zusammen. Gemeint ist damit eine Methode, schädliche Computerprogramme (Malware) getarnt als seriös wirkende Onlinewerbung zu verbreiten. Durch das Klicken auf die entsprechenden Anzeigen und Banner werden automatisch einzelne Computer oder sogar komplette Netzwerke mit Trojanern, Viren, Spyware und ähnlichem infiziert. Oftmals ist eine aktive Interaktion auch gar nicht mehr nötig. Hier infiziert sich der Computer des ahnungslosen Nutzers im „Vorbeisurfen“ mittels Drive-by-Download.
Wie genau funktioniert Malvertising?
Um Malvertising zu verstehen, muss man zunächst wissen, wie Onlinewerbung funktioniert. Ähnlich wie bei herkömmlicher Werbung gibt es auch hier einen Anbieter (Advertiser), der sein Produkt und/oder seine Dienstleistung bekannt machen möchte. Hierfür bieten Betreiber von Webseiten (Publisher) Flächen für Onlinewerbung zum Kauf an. Als Mittler zwischen Angebot und Nachfrage dienen Werbenetzwerke, so genannte Ad Networks. Sie bringen zueinander passende Publisher und Advertiser zusammen.
Beim Malvertising kaufen Kriminelle in der Regel über ein Ad Network gezielt Werbeflächen auf. Diese nutzen sie dazu, Besucher auf ihre eigene Seite umzuleiten. Hier wartet die Malware darauf, die Rechner der User zu infizieren und persönliche Daten auszuspähen, Admin-Rechte zu übernehmen oder anderweitigen Schaden anzurichten. Malvertising kann eine einzelne Werbeanzeige betreffen, aber auch ein komplettes Werbenetzwerk missbrauchen. Auf diese Art lässt sich Schadsoftware besonders effektiv verbreiten. Es müssen keine einzelnen Seiten mehr gehackt werden. Die Verbreitung übernimmt das Werbenetzwerk, indem es die infizierten Anzeigen auf reellen Werbeplätzen veröffentlicht. Die Hacker profitieren hierbei von der Tatsache, dass die Ad-Networks die Werbetreibenden keiner genaueren Überprüfung unterziehen. Oftmals reicht eine einfache Registrierung, verbunden mit einer Gebühr, um als Advertiser akzeptiert und aufgenommen zu werden.
WordPress: Segen und Fluch zugleich
Bei Privatpersonen, Freiberuflern und kleineren Unternehmen erfreut sich WordPress stetig wachsender Beliebtheit. Besonders bei der Erstellung von Blog-Seiten kommt das Content Management System gerne und oft zum Einsatz – zunehmend auch bei größeren Unternehmen. Über 30 Prozent aller Webseiten weltweit basieren mittlerweile auf WordPress. Seine große Popularität wird WordPress allerdings in regelmäßigen Abständen auch zum Verhängnis. Denn die weltweite Verbreitung der Open-Source-Software macht sie für verbrecherische Zwecke so interessant. Bereits mehrfach sahen sich WordPress-User durch Hackerangriffe bedroht bzw. geschädigt.
Dabei trifft es bei weitem nicht nur die „großen“ Seiten. Für die Verbreitung von Spam oder als Plattform für Malvertising eignet sich jede WordPress-Seite. Die Hacker machen sich hierbei den Traffic der Seiten zunutze und leiten die Besucher auf gespiegelte Seiten um, die sie selbst kontrollieren. Für den User ist kein Unterschied erkennbar, doch bewegt er sich nun auf einer Seite, die dazu benutzt wird, Schadsoftware zu verbreiten. Dies kann entweder durch den Hacker selbst geschehen oder durch Dritte, die hierfür Werbeflächen eingekauft haben. Letzteres schließt jedoch nicht aus, dass Käufer und Hacker von Anfang an gemeinsame Sache gemacht haben, wie die Studie von Check Point beweist.
Doch woran liegt es, dass ausgerechnet WordPress immer wieder zum Angriffsziel für Hacker wird? Die Antwort ist ebenso simpel wie alarmierend: Weil es aufgrund seiner Popularität und seiner Beschaffenheit ein gefundenes Fressen ist. Kriminelle nutzen systematisch kritische Sicherheitslücken aus und missbrauchen die Seiten für ihre Absichten. Die schier unbegrenzten Möglichkeiten zur Erweiterung von WordPress-Seiten bedeuten nämlich fast ebenso viele mögliche Schwachstellen, für die es keine automatisierten Updates bzw. Patches gibt.
Frontalangriff durch die Hintertür
Hinter der bereits erwähnten Malvertising-Kampagne steckte ein einzelner krimineller Kopf, der sich die Schwächen des Online-Werbesystems zunutze gemacht hat. Bezugnehmend auf seine IP-Adresse tauften ihn die Sicherheitsexperten von Check Point vereinfachend „Master134“. Er war es, der rund 10.000 WordPress-Seiten derart manipulierte, dass die Besucher umgeleitet wurden, ohne es zu merken. Den Datenverkehr, den er dadurch erhielt, verkaufte er anschließend an die Werbeplattform AdsTerra, die ihn wiederum meistbietend an so genannte Reseller weiterverkaufte. An dieser Stelle wird es tückisch: Bei den Werbetreibenden, die nun die reellen Anzeigenplätze aufkauften, handelte es sich nicht um „ehrliche“ Advertiser, sondern – da sind sich die Experten von Check Point sicher – um Kriminelle, die auf diesem Wege gezielt ihre Malware verbreiten.
Die ausführliche Untersuchung von Check Point zeigt, dass sämtliche Werbeplätze, die von Master134 angeboten wurden, am Ende in den Händen von Cyberkriminellen landeten. Damit schließt sich der Kreis. So lange die Werbenetzwerke keine umfassendere Überprüfung der Advertiser sowie der angebotenen Anzeigenflächen vornehmen, wird uns das Problem des Malvertisings noch eine Weile beschäftigen.
Schützen Sie sich vor Angriffen!
Ja, es ist tatsächlich immer wieder die alte Leier, aber: Wenn Ihnen die Sicherheit Ihrer Webseite am Herzen liegt, werden Sie nicht um die üblichen Sicherheitsvorkehrungen herumkommen. Als Seiten-Administrator sollte man grundsätzlich das kleine Einmaleins der Online-Sicherheit beherzigen. Spielen Sie Updates umgehend ein und erstellen Sie regelmäßige Backups. Sinnvoll kann es außerdem sein, nicht genutzte Plug-Ins oder Themes zu löschen und die Kommentarfunktion so einzustellen, dass Kommentare erst nach Überprüfung durch den Administrator veröffentlich werden.
Professionelle Hilfe
Für den Fall, dass all diese Ratschläge zu spät kommen und Ihre Seite bereits infiziert ist, raten wir Ihnen dringend, sich Rat von einem Profi einzuholen. Gerne helfen Ihnen unsere Sicherheitsexperten weiter: security@leitwerk.de.