Eine Malvertising-Kampagne ist eine ganz gefährliche Geschichte. Das sind Werbekampagnen, die sozusagen Schadsoftware huckepack mit sich herumtragen. Allerdings hat sich der Bereich weiterentwickelt. Waren es erst schnöde Werbebanner von zwielichtigen Netzwerken, die einen Virus mit sich herumtrugen, so ist es nun auch irgendwas, was auf den ersten Blick legitim aussieht. Und eine solche Kampagne wurde nun gestoppt.
In Werbeanzeigen, die auf das Programm Browser Defense oder auf das Screenshot-Programm Broxu hinwiesen, war bösartiger Code versteckt. Dieser Code wird speziell ausgeliefert und ist für das Auge kaum zu erkennen. Der Code greift dort, wo eine veraltete Flash-Version im Einsatz ist. Und Anwender müssen einen veralteten Internet Explorer im Einsatz haben. Eine entsprechende Warnung und Behebung gibt es bereits seit dem Frühling.
Es scheint nur den Internet Explorer zu betreffen. Und den konnte man – wie gesagt – bereits im Frühling aktualisieren. Zum Einsatz kommt dann eine angepasste Version eines Besucherzählers. Und damit wird der Schadcode im Banner ausgelesen. Über die Schwachstellen wird dann ein Exploit geladen. Aber nur, wenn dies, das und jenes nicht vorhanden ist. Und dieser Exploit installiert dann die eigentliche Schadsoftware. „Exploit“ heißt übrigens „ausnutzen“.
Also: Es muss vieles überhaupt zutreffen, damit es zu einer Infektion kommen kann. Allerdings wurde diese Schadsoftware auch von „großen Nachrichtenseiten“ verbreitet. Welche? Keine Ahnung. Man habe es aber hauptsächlich auf Großbritannien, Kanada, Australien, Spanien und die Schweiz angelegt. Ausdrücklich ausgenommen sind wohl die USA. Ein installierter Virus greift Zugangsdaten ab und kopiert Dateien, ein weiterer macht Screenshots, packt Dateien aus und führt Dateien aus.
Angeblich soll das Konstrukt, das „Stegano“ (im Verborgenen) getauft wurde, bereits seit 2014 aktiv sein. Allerdings hat von ihm bisher kaum jemand Notiz genommen. Und die aktuelle Welle läuft seit Oktober, heißt es. Über welche Werbenetzwerke das Ganze läuft, wurde nicht bekannt gegeben. Und deshalb sage ich ja seit Monaten: Es gibt genügend Gründe, um einen Werbeblocker aktiv zu haben. Es ist niemandem zu verdenken. Gefahren gibt es genug. Ob nun gerade so eine Konstruktion zu einem Problem führt, muss man im Einzelnen sehen. Man sollte vielleicht auch auf zweifelhafte Werbeblocker verzichten.
Ich nehme an, dass die Möglichkeit besteht, dass die Werbenetzwerke – also Google AdSense, Affili.net, Zanox, Adiro und Co. – vielleicht nicht einmal wussten, dass über ihre Werbebanner unter Umständen Viren transportiert wurden. Zumindest bei diesem Konstrukt ist doch die Wahrscheinlichkeit hoch, dass das verborgen blieb. Aber dennoch kann ich nur jedem empfehlen, einen Werbeblocker einzusetzen, den man für einzelne Seiten bewusst deaktiviert. Wenn meine mit dabei ist, wäre das zwar schön. Aber das kann ich ja nun nicht verlangen. Vor allem nicht bei solchen Nachrichten, oder?