Malware-Attacke auf mehreren Plattformen

Über das Desktopangebot von 20 Minuten ist am Montag erneut Malware ausgeliefert worden. Bei dem aktuellen Vorfall handelt es sich um sogenanntes Malvertising. Ein Kunstwort, das sich aus den Begriffen Malware und Advertising zusammensetzt.

Beim Malvertising versuchen Cyberkriminelle Schadsoftware über manipulierte Werbung an die Besucher von Websites auszuliefern. Im konkreten Fall handelte es sich um eine manipulierte Anzeige, die beim Werbenetzwerk Improve Digital aufgeschaltet wurde. Die Firma ist international tätig und ein Tochterunternehmen der Swisscom.

Das kompromittierte Javascript in der unsauberen Anzeige versuchte auf Windows-PCs den Trojaner Bedep zu installieren (siehe Box). Dabei wurde die Website von 20 Minuten als Mittelsmann missbraucht, um die Malware auszuliefern.

In der Nacht auf Dienstag bestätigte Improve Digital, dass die Trojaner-Attacke nicht auf 20 Minuten beschränkt ist: «Momentan scheint es, dass die Malware über mehrere Publisher verteilt wurde. Die Zahl betroffener User zu schätzen, ist zurzeit aber unmöglich», liess die Firma verlauten. Und weiter: «Die Sicherheitsfirma, die uns unterstützt, hat bislang keine aktiven Infektionen festgestellt, aber das bedeutet nicht, dass niemand infiziert wurde. Wir sind mit Hochdruck daran, den Ursprung der Manipulation zu finden.»

Die Swisscom hat Improve Digital mit der Übernahme der Publigroupe im Jahr 2014 übernommen. Laut Swisscom-Sprecher Armin Schädeli wurde die Malware «identifiziert und sofort entfernt». Improve Digital sei nun gemeinsam mit externen Sicherheitsexperten an der Ursachenanalyse. Weitere Details könne man erst liefern, sobald die Erkenntnisse vorlägen. Tamedia hat als Vorsichtsmassnahme sämtliche Anzeigen von Improve Digital, die heikle Werbung ausliefern könnten, deaktiviert. Weitere Informationen von Improve Digital selber waren am Montag nicht zu erhalten.

20 Minuten hat den IT-Sicherheitsexperten Stefan Friedli von der Firma Scip AG gebeten, den aktuellen Vorfall einzuschätzen.

Stefan Friedli: Ich kenne die Internas und Abläufe des entsprechenden Netzwerkes nicht. Es ist davon auszugehen, dass die Urheber der Malvertisement-Kampagne Zugang zur Plattform hatten, entweder mittels eines eigenen Accounts oder mittels eines Accounts eines kompromittierten Werbekunden. Der Schadcode, der auf den betreffenden Seiten aufschlägt, wurde dort hinterlegt und offensichtlich nicht durch die Plattform als problematisch erkannt.

Die New York Times hatte 2009 dasselbe Problem. Neu ist das Phänomen also nicht. Das Wort «Standard» impliziert in diesem Fall aber, dass es klare Vorgaben gibt, was in diesem Fall kaum der Fall ist. Aber: Webseitenbetreiber und ihre Partner sind natürlich dafür verantwortlich, dass die ausgelieferten Inhalte die Besucher ihrer Seite nicht gefährden. Man kann den schwarzen Peter hier beliebig hin- und herschieben, aber am Ende müssen bessere Mechanismen geschaffen werden. Wenn das nicht passiert, werden Unternehmen und Endkunden ihre eigenen Lösungen finden.

Es ist immer problematisch, wenn Inhalte jeglicher Art aus unvertrauenswürdiger Quelle an Benutzer ausgeliefert werden. Ein Anbieter muss hier sicherstellen, dass sämtliche Eingaben des Datenlieferanten sauber validiert werden. Einem Werbekunden zu erlauben, ohne intensive manuelle Prüfung vor Veröffentlichung, beliebigen Javascript-Code, Flash-Dateien oder Java Applets zu publizieren, ist tendenziell sehr, sehr heikel. Inwiefern das im vorliegenden Fall gegeben ist, oder ob zusätzliche eine Schwachstelle im Portal des Anbieters ausgenutzt wurde ist mir unbekannt – Handlungsbedarf gibt es so oder so.