Malvertising: Kriminelle nutzen Tausende WordPress-Sites als Malware-Schleudern

Check Point hat rund 10.000 gehackte WordPress-Websites entdeckt, die Teil einer Strategie zur großflächigen Malware-Verbreitung über Werbenetzwerke sind.

In Pocket speichern vorlesen Druckansicht 70 Kommentare lesen
Malvertising: Kriminelle missbrauchen Tausende WordPress-Sites als Malware-Schleudern

(Bild: TheDigitalArtist)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Das IT-Sicherheitsunternehmen Check Point hat eine umfangreiche Malware-Kampagne entdeckt, die auf Malvertising – also dem Missbrauch von Werbeanzeigen zur gezielten Schadcode-Verbreitung – basiert. Gegenüber The Register berichteten die Forscher am vergangenen Montag von mehr als 40.000 wöchentlichen Infektionsversuchen über die präparierten Anzeigen. Sie sagten auch, dass die Kampagne noch aktiv sei.

(Bild: blog.checkpoint.com)

Beim Malvertising kaufen Kriminelle als "Advertiser" Werbeflächen auf den Websites von "Publishern" über den Umweg spezieller Werbenetzwerke ein. Die eingekauften Flächen nutzen sie dann, um Website-Besucher mittels Umleitungen auf Malware-Sites zu manövrieren. Meist läuft ein solcher Einkauf über automatisierte Online-Auktionen: Der Höchstbietende erhält den Zuschlag. Oft sind auch noch Zwischenhändler ("Reseller") beteiligt.

Ungewöhnlich an der aktuellen Malvertising-Kampagne ist laut Check Point , dass sämtliche Werbeflächen von einem Publisher stammten – einem Hacker, der zu diesem Zweck tausende verwundbarer WordPress-Installationen kompromittierte. Trotz des Umwegs über Werbenetzwerke und Reseller konnte eine überschaubaren Gruppe krimineller Akteure die Flächen fürs Malvertising aufkaufen. Daraus ergibt sich eine geschlossene und besonders effektive Infektionskette.

Der verantwortliche Publisher, der im Check-Point-Blog der Einfachheit halber "Master 134" genannt wird, missbrauchte eine Schwachstelle in WordPress-Version 4.7.1, um JavaScript-Code in mehr als 10.000 verwundbare Websites einzubauen. Dieser Code leitete sämtliche Website-Besucher auf Master 134s eigene Website um.

Auf dieser schuf er Werbeflächen, die er über das Werbenetzwerk "Adsterra" zum Kauf anbot. Dort wurden sie mittels hoher Gebote gezielt von bestimmten Resellern aufgekauft. Die verkauften sie an Malvertiser, die den Traffic, oder besser: die Besucher der gehackten WP-Sites auf Landing-Pages von Exploit-Kits lotsten. Eine solche Exploit-Kit-Site testet Zielrechner auf Schwachstellen, über die dann der Schadcode eingeschleust wird.

Interessant ist, dass bei der aktuellen Kampagne vor allem das RIG Exploit-Kit zum Einsatz kam, dessen Quellcode bereits 2015 geleakt wurde. Im Artikel "Einbrecher zu vermieten" in der c't 18/15 haben wir uns den RIG-Code detailliert angeschaut.

Das komplexe Geflecht zwischen den beteiligten Akteuren lässt Zufälle eher unwahrscheinlich erscheinen.

(Bild: blog.checkpoint.com)

Es bleibt noch die Frage zu klären, wie derart gezielte Einkäufe über ein öffentliches Werbenetzwerk überhaupt funktionieren können, ohne dass die Betreiber etwas merken. Die Forscher von Check Point mutmaßen, dass die Adsterra-Betreiber eingeweiht sind und dass die beteiligten Reseller, die sich ihres illustren Kundenkreises durchaus bewusst sind, Master134 direkt bezahlen. Der wiederum zahle möglicherweise Schmiergeld an Adsterra und Co. Zusätzlich können extrem hohe Gebote auf die Werbeflächen des Publishers verhindern, dass "echte" Werbetreibende den Zuschlag erhalten.

Für Master134 hat das Geschäft den Vorteil, dass der Umweg über die Werbenetzwerke den Ursprung des von ihm gelieferten Traffics verschleiert. Und die Malvertiser greifen für "echte" Besucher statt Bot-basiertem Billig-Traffic gern etwas tiefer in die Tasche: Ransomware und Banking-Trojaner sorgen dafür, dass es sich lohnt.

Um Kriminellen kein Einfallstor zu bieten, sollten (nicht nur) WordPress-Nutzer auf die Aktualität ihres CMS achten. Die aktuelle WP-Version 4.9.7 ist gegen die von Check Point genannte Remote-Code-Execution- sowie gegen zahlreiche weitere Lücken abgesichert.

Mehr darüber, wie Online-Gangster mit Malvertising Geld verdienen, steht im c't-Artikel "Goldesel der Crimeware" (Heft 7/17). (ovw)