Malvertising

Ransomware in Google Ads

Mit Schadsoftware, die sie hinter seriös aussehenden Werbeanzeigen versteckt, ist die Hackergruppe DEV-0569 aktiv und verbreitet ihre Ransomware namens Royal.
Von 
CSO | 21. November 2022 11:06 Uhr
Beim Malvertising kaufen Cyberkriminelle Werbeplätze auf Webseiten und platzieren Anzeigen, die zwar seriös wirken, aber böswilligen Code enthalten.
Beim Malvertising kaufen Cyberkriminelle Werbeplätze auf Webseiten und platzieren Anzeigen, die zwar seriös wirken, aber böswilligen Code enthalten.
Foto: K.unshu - shutterstock.com

Die Ransomware "Royal" trat zwar erstmals im September 2022 auf, dennoch wird sie bereits von mehreren Bedrohungsakteuren verbreitet. Das Threat Intelligence Team von Microsoft verfolgt eine Gruppe Cyberkrimineller, die der Hersteller DEV-0569 nennt, die durch den kontinuierlichen Einsatz neuer Angriffstechniken und Verteidigungsumgehungen auffällig wurde .

Cyberkriminelle nutzen Malvertising

Wie die Sicherheitsforscher herausgefunden haben, setzt DEV-0569 nicht nur auf klassisches Phishing, sondern auch auf Malvertising. Dabei kaufen Cyberkriminelle Werbeplätze auf vertrauenswürdigen Webseiten und versehen seriös wirkende Anzeigen mit Schadcode. Die Hacker, die Microsoft aktiv verfolgt, haben in einer ihrer Kampagnen das Werbesystem von Google Ads missbraucht, um ihren maliziösen Code in den normalen Anzeigenverkehr auf diversen Webseiten zu platzieren.

Klickt ein Nutzer auf eine solche Anzeige, wird der Malware Downloader "Batloader" installiert, welcher dem Nutzer als ein Update für eine legitime Anwendung wie Microsoft Teams oder Zoom angezeigt wird. Ein Batloader startet bösartige PowerShell-Aktivitäten oder führt Batch-Skripte aus, um Sicherheitslösungen zu deaktivieren und weitere Malware Payloads zu liefern.

Schutz vor Malvertising

Microsoft gibt folgende Empfehlungen, um sich vor Malware zu schützen:

  • Nutzen Sie Webbrowser, die SmartScreen unterstützen, ein Tool von Microsoft, welches schädliche Websites identifiziert und blockiert. Aktivieren Sie zudem den Netzwerkschutz, um Verbindungen zu schädlichen Domänen und IP-Adressen zu blockieren.

  • Sensibilisieren Sie Ihre Mitarbeiter mit Security-Awareness-Schulungen für Cyberbedrohungen und zeigen ihnen, wie sie Phishing-Angriffe erkennen können.

  • Folgen Sie dem Prinzip der geringsten Berechtigungen. Vermeiden Sie domänenweite Dienstkonten auf Administratorebene. Das Einschränken lokaler Admin-Rechte kann dazu beitragen, die Installation von Remote-Access-Trojanern und anderen unerwünschten Anwendungen zu dezimieren.

Sich konkret gegen Malvertising zu schützen, ist schwierig, da hier die Verantwortung sowohl bei den Anbietern der Werbesysteme liegt wie auch bei den Browser-Anbietern und den Verlagen, auf deren Plattformen die Werbung ausgespielt wird. Diese setzen zunehmend auf Lösungen zur Echtzeit-Erkennung, die Anomalien direkt im Browser des Endnutzers blockieren.

Zum Schutz vor Adserving Hijacks, setzt sich nach und nach das Feature "HTML iframe Sandboxing" durch. Auch Google war aktiv und hat einen umfassenden Redirect-Blocker für Cross Origin iframes entwickelt. Endnutzer sind mit Antivirus-Lösungen gut beraten, sollten allerdings darauf achten, diese immer auf dem neuesten Stand zu halten und regelmäßig zu aktualisieren.

Tipp: Sie möchten regelmäßig über Cyberangriffe und weitere Security-Themen informiert werden? Dann abonnieren Sie doch unseren kostenlosen Newsletter.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.