Etwas Unglaubliches spielt sich derzeit in der Online-Werbewelt ab. Erst vor wenigen Tagen befiel ein Skype-Virus Millionen von Rechner und linkte mit einer ordinären Foto-Nachricht auf eine Website, hinter der sich wiederum ein Trojaner befand. Doch damit nicht genug, höchstwahrscheinlich war dieser Angriff nur die erste Phase einer viel intelligenteren Bedrohung.
Wie Next-Gamer nun mit Hilfe des Ad-Server-Spezialisten GAN Technologies, der zu dem Gaming-Vermarkter GAN Game Ad Net gehört, herausfand, wurden über einen Trojaner Malware-Browser-Plug-Ins bei Firefox, Internet Explorer und Chrome ausfindig gemacht, die manipuliert in Webseiten fremden Content injezieren. Hierfür nutzen sie momentan noch vorwiegend Seiten, die viel Werbung und ein hohes Nutzeraufkommen vorweisen, um im immensen Datenstrom unauffällig agieren zu können. Dabei suchen sie bestimmte HTML-Elemente einer Website oder bringen diese sogar selbst ein, um eigene Programmcodes auszuliefern. GAN fiel dies bei der Auslieferung von Werbebannern auf. Wenn in einem Browser-Spiel jugendgefährdende Werbung läuft, der Vermarkter selbst aber keine ausliefert, stößt man schnell auf einen Fehler von außerhalb. Glück im Unglück, sonst wäre es vielleicht nicht so schnell erkannt worden.
Marlon Werkhausen von GAN Game Ad Net äußerte sich dazu folgendermaßen in unserem Interview:
“Wir konnten das soweit analysieren, dass die Vorgänge bei Browser-Spielen auf Werbeflächen in div-Containern zurückzuführen sind. Uns ist von Kundenseite bereits berichtet worden, dass gerade mehrere Webseiten (die selbst Werbung über DFP (Anmerkung d. Red.: Doubleclick, also Google-Adserver) eingebunden haben), kurzfristig darauf reagieren, indem Sie Werbeaufrufe ändern. Tatsächlich ist das nur kurzfristig eine Möglichkeit der Malware den Zugang zu verriegeln. Es ist nur eine Frage der Zeit, bis neue Zugänge gefunden werden.”
Theoretisch kann ergo jede Website attackiert werden. Heiko Weber von GAN Technologies hat das im Detail analysiert und rekonstruiert:
“Jemand hat verschiedene Elemente in Verkettung genutzt um diese Attacken weltweit auf namhaften Seiten zu starten und sich daran zu bereichern.”
Einfach gesagt wartet das Skript so lange ab, bis die Seite komplett geladen wurde. Dann sucht es nach Werbemittelflächen, die im iframe ausgeliefert werden und ersetzt diese gezielt mit neuer Werbung. Betroffen sind sogar Größen wie bild.de und spiegel.de. Letztendlich ist also nicht die Website infiziert, sondern der Browser.
Heiko Weber fand außerdem heraus, dass, sobald er das Add-On „Search Assistant“ aus der FEBE-Sicherung in Firefox einspielte, die Werbung nicht mehr die war, die vom Vermarkter ausgeliefert wurde (Anm. d Red.: FEBE ist ein Add-On, um alle Einstellungen und Add-Ons aus Firefox zu sichern). Das Add-On greift dabei gezielt in den DOM-Baum der Webseite ein um andere Werbung als die auf der Seite befindliche auszuliefern. Hierbei geht es nicht über Id’s im HTML vor, sondern ganz gezielt auf vorhandene Bild- und Flash-Elemente anhand ihrer jeweiligen Größe. Folgende Werbemittelgrößen sind im Script hinterlegt: 728×90, 300×250, 160×600, 120×600, 300×600 und 468×60.
“In meiner Testumgebung konnte ich das Add-On allerdings deaktivieren, ob das in einem per „Drive-By“ infizierten Browser auch der Fall ist, konnte ich nicht nachstellen. Nach der Deaktivierung bleibt das Script scheinbar in den Einstellungen erhalten; ob diese von dort noch mal ausgeführt werden, konnte ich nicht herausfinden. Das wäre dann wohl so eine Art Browser-Lücke.”
Folgende Infos dienten GAN Technologies als Grundlage, diesen Attacken auf die Schliche zu kommen: stopmalvertising.com
Da die aus der Verbreitung von Viren/Tojanern resultierenden Attacken sämtliche Elemente einer Website nutzen können, sind Maßnahmen dagegen momentan schwer einzuschätzen. Schnellstmöglich sollte hierfür ein Maßnahmenkatalog in Erwägung gezogen werden, der über das reine „Werbebanner-Thema“ hinausgeht. Denn das war höchstwahrscheinlich nur der erste Ansatz einer neuen Form des Cyber-Terrorismus.
