1 Milliarde Aufrufe: Zirconium verbreitet Malware über 28 Fake-Werbeagenturen

Das Security-Unternehmen Confiant beschreibt in seinem Blog die wohl aufwendigste Aktion für Anzeigen-Betrug im Internet der letzten Jahre. Eine Gruppe mit dem Namen Zirconium gründete Anfang 2017 insgesamt 28 falsche Werbeagenturen, die Woche für Woche auf etwa 62 Prozent aller werbefinanzierten Websites vertreten gewesen sein sollen und schätzungsweise eine Milliarde Ad Views erreichten. Dabei gingen die unbekannten Mitglieder von Zirconium äußerst sorgfältig und professionell vor, legten individuelle Websites für ihre erfundenen Firmen an und erzeugten sogar Fake-Profile der Eigentümer bei sozialen Medien wie LinkedIn oder Twitter. Ein Beispiel ist die Firma Grandonmedia, beheimatet angeblich in Stuttgart, mit ihrem CEO Ferdinand Konrad, der Sätze twittert wie „We always have the exposure opportunity to reach new clients with advertising“. Zirconium setzt hier offensichtlich Bots ein. Eine vollständige Liste der Fake-Agenturen findet sich am Ende des Blog-Beitrags von Confiant.

Nachdem aufgrund der verbesserten Browser-Sicherheit Exploit-Kits für Online-Werbung kaum noch Erfolge zeigten, griffen die Kriminellen in den vergangenen beiden Jahren zunehmend zu einem anderen Mittel, um ihre Schadsoftware zu verbreiten: Forced Redirects ein. Dabei handelt es sich um Werbung, die mit einem speziellen JavaScript-Code versehen ist und bewirkt, dass der Anwender beim Klick auf einen Link ungefragt zu einer anderen Site umgeleitet wird.

Anzeige gekauft, Opfer umgeleitet

Die Zirconium-Gruppe ging folgendermaßen vor: Ihre Agenturen kauften Anzeigenplatz auf diversen legalen Websites. Über einen Forced Redirect führten die Betrüger die Besucher der Seiten zu einer anderen Domain, die als Zwischenstation diente. Dort versuchten sie, die Anwender per Fingerprinting wiedererkennbar zu machen. Beim Fingerprinting werden vom Browser übermittelte Daten wie etwa der Typ des Betriebssystems, die Zahl der CPU-Cores, die eingestellte Grafikauflösung, die Spracheinstellungen und natürlich auch der Browser-Typ verwendet, um ein Profil anzulegen. Mit diesen Angaben wollten die Betrüger zum einen wohl die Ansprache der Besucher optimieren, zum anderen aber vermutlich auch Sicherheitsforscher identifizieren, die ihnen auf die Schliche gekommen waren.

Von der Zwischenstation ging es für den Besucher weiter zu einer dritten Domain namens MyAdsBro, die ebenfalls von Zirconium betrieben wurde. Hier fand das eigentliche Geschäft statt, denn die Gruppe verkaufte den Traffic, den sie von diversen Websites hierher umgeleitet hatte, an die werbetreibende Wirtschaft. Besonders beliebt war sie jedoch offensichtlich in der kriminellen Hacker-Szene: Etliche Links führen von hier zu Sites, die mit Malware verseuchte Adobe-Flash-Updates, Software-Installer, angebliche Support-Angebote und andere Requisiten von Internet-Betrügern anboten. MyAdsBro ist mittlerweile nicht mehr erreichbar.

 

Um Forced Redirects zu unterbinden, sollten Website-Betreiber regelmäßig ihre Seiten überprüfen und unerwünschte Weiterleitungen sofort an die Anzeigennetzwerke melden. Anwender finden in den großen Browsern Funktionen, um automatische Weiterleitungen zu unterbinden.