Malvertising: Hacker liefern 100 Millionen Fake-Ads an Windows-10-User aus

Eine besonders erfolgreiche Gruppe von Malvertising-Hackern hat in diesem Jahr schon 100 Millionen Werbungen mit Betrugsabsicht and deutsche und französische Windows-10-Nutzer ausgeliefert, wie ein neuer Report zeigt.

Die Gruppe ist in Hong Kong beheimatet und liefert Scam-Werbung aus, die Anwender zu Phishing-Versuchen, Tech-Support-Scams und falschen Gewinn-Benachrichtigungen umleitet. Das Besondere daran: Die Werbung wird über offizielle Windows 10 Apps und kostenfreie Games aus dem Windows Store ausgeliefert.

Das ermöglicht es den Hackern, die Windows-eigenen Scam-Blocker zu umgehen und neue Fenster im Browser zu öffnen.

Hacker gründen Tarn-Unternehmen

Auf die Spur ist der Gruppe das auf Werbung spezialisierte Cyber-Unternehmen Confiant gekommen. Es entdeckte, dass ein in Hong Kong ansässiger Werber verschiedene Unternehmen gründete, die er bei DSPs (demand-side-platforms) anmeldete.

DSPs sind meist Software-Dienste über die man automatisiert Werbefläche im Internet kaufen kann. Unternehmen und Agenturen können hier ihre Werbung in Form von Bannern, Video oder Suchergebnissen buchen.

Die Malvertising-Gruppe registrierte sich unter dem Namen „fiber-ads“ und konnte ihre Scam-Werbung unbemerkt bei DSPs registrieren. Später wurde zu einem anderen Tarn-Unternehmen gewechselt („Clickfollow“). Confiant hat Beweise das die Betrüger aktiv nach Zugang zu Premium-Werbebörsen gesucht haben.

Masche fliegt auf, nachdem User die Werbung melden

Die Masche war extrem erfolgreich: Allein in diesem Jahr sollen über 100 Millionen Betrugs-Ads geschaltet worden sein. Den Peak hatte die Kampagne im Mai und Juni, just in dem Zeitraum, in dem viele deutsche und französische Nutzer die Anzeigen meldeten.

Mittlerweile werden die Ads von Confiant blockiert, das Unternehmen nimmt allerdings die DSPs in die Pflicht. Sie sollten zukünftig ihre Kunden besser kontrollieren. Sollte eine Anfrage verdächtig erscheinen, sollten die DSPs die Zusammenarbeit sofort unterlassen.

Die Malvertising-Kampagne war zudem nicht gezielt auf Windows-10-Apps ausgerichtet. Sie landeten dort nur, weil Microsoft die Monetarisierung von Apps mit In-App-Werbung ermöglicht. Außerdem wurden die Opfer gezielt ausgewählt.

Teilweise wurden den Anwendern einfach nur falsche, aber harmlose Werbebanner angeboten. Andere wurden auf Phishing- und Malware-Seiten umgeleitet. Typische Maschen waren ein gewonnenes Samsung-Smartphone oder eine falsche Tech-Support-Meldung. Nach welchen Kriterien die Opfer letztlich ausgewählt wurden, ist nicht bekannt.

Malvertising ist ein globales Phänomen

Nicht nur Westeuropa kämpft mit Malvertising-Kampagnen. In Osteuropa wurden in den letzten drei Monaten etwa 1 Milliarde falscher Ads per Google AdSense ausgeliefert. Betrug mit Werbung ist mittlerweile ein globales Phänomen.