Dem Sicherheitsunternehmen Confiant ist es wohl gelungen, die Firma aufzuspüren, die für die ausgespielte bösartige Werbung (Adware) in Outlook, Microsoft-Spielen und der Microsoft News-App verantwortlich ist. Mit hoher Wahrscheinlichkeit sitzen die Hintermänner in Hongkong und verwenden dort zwei Firmen, die für diese gekaperten Werbekampagnen verantwortlich sind.
Kurzer Rückblick auf die MS-Malvertising-Kampagnen
Ich hatte vorigen Monat im Blog-Beitrag Microsoft Windows 10-Apps öffnen Spam-Werbeseiten über einen solchen Vorfall berichtet. Benutzer einiger Windows 10-Apps wie MS News, bekamen seit Freitag wohl unerwünschte Werbung angezeigt, die die Nutzer auf Webseiten umleitete, die mitteilten, dass man als xxxxter Besucher ein iPhone gewonnen habe. Oder PC sei mit Viren verseucht – was auch Unsinn ist. Ziel dieser Anzeigen ist es, den Benutzer zur Preisgabe seiner Daten oder zum Download eines unnützen Tools zu verleiten.
Blog-Leser Michael W. hatte mich seinerzeit per E-Mail auf das Problem hingewiesen – es war mir aber auch schon im Web und hier unter die Augen gekommen. Michael schrieb:
Am Freitag hatte ich an meinem Arbeitsplatz-PC mehrmals selbständig öffnende Firefox-Registerkarten mit den bekannten „Gewinnspielen“: „Lieber Telekom-User, Sie sind möglicher Gewinner eines Gerät X Modell Y“. Andere aufpoppende Seiten wurden serverseitig mit Verbindungsabbruch blockiert.
Der Vorfall wurde bei Microsoft Answers, zum Beispiel im deutschsprachigen Beitrag Windows Apps öffnen Fake-Webseiten mit angeblichen Gewinnspielen oder angeblichen Virenproblemen angesprochen – aber es gibt auch eine englischsprachige Variante, von der nachfolgender Screenshot stammt.
(Adware-Beispiel, Quelle: Microsoft Answers)
Mutmaßlicher Verursacher sitzt in Hongkong
Der Sicherheitsforscher der Plattform Confiant haben das Ganze analysiert und sind sich ziemlich sicher, den Urheber der Kampagne, die den Nutzern einen Virenbefall vorgaukelten oder einen Gewinn versprachen, identifiziert zu haben. Im Blog-Beitrag Hong Kong Based Malvertiser Brokers Traffic To Fake Antivirus Scams — Over 100 Million Ads Compromised In 2019 So Far legen die Sicherheitsforscher ihre Erkenntnisse offen.
Confiant ist eine Firma, die sich darauf spezialisiert hat, bei programmatisch gesteuerten Werbekampagnen ein Hijacking (bei dem bösartige Werbung eingeschleust wird) zu erkennen und zu unterbinden.
Nach einer Analyse des trickreichen Vorgehens des Urhebers (als Malvertiser bezeichnet) der Adware-Kampagnen konnten, laut Confiant, bei einer neuen Kampagne plötzlich Details ermittelt werden. Im März 2019 gab es von einem der Confiant Plattformkunden ein Feedback zu einer Kampagne, auf die das Attributionsmodell des Angreifers passte. Es kam die Information, dass der Käufer der Kampagne die seit Januar 2019 aktive „fiber-ads“ sei.
Es konnte dann auch von mehreren Plattformpartnern bestätigt werden, dass Adware genau über diesen Käufer ausgerollt wurde. Gleichzeitig wurde Confiant mitgeteilt, dass dieser Käufer kürzlich mit einer neuen Firmenidentität „Clickfollow“ auftrat. Eine Recherche ergab, dass beide Unternehmen ihren Sitz in Hongkong haben:
(Webseite von clickfollow.com)
(Webseite von fiber-ads.com)
Weitere Recherchen zu fiber-ads.com ergaben dann einen Einblick in das Geschäftsmodell des Malvertisers. Dieser besitzt ein Profil auf MyMediAds.com – ein Social Network für professionelle Anzeigenkäufer und Verkäufer. Die Aktivitäten des Malvertisers geben wohl zu erkennen, wie dessen Geschäftsmodell funktioniert. Er kauft von anderen Anbietern große Kontingente an Werbeplätzen und füttert diese dann mit seinem Adware-Werbeanzeigen. Der Confiant-Blog-Beitrag zeigt Screenshots aus den MyMediAds.com Aktivitäten des Malvertisers.
Confiant hat die Kampagnen des Malvertisers grafisch über die Zeit aufgetragen. Der Akteur ist sehr aktiv und konnte in Spitzenzeiten 28 und 14,4 Millionen Impressionen seiner Werbung ausspielen. Ab Mitte Juni 2019 wurden über 100 MM Impressionen bedient.
(Von Confiant geblockte Impressionen pro Tag in 2019, Quelle: Confiant)
Der Confiant-Blog-Beitrag enthält eingehende Analysen der von den Adware-Kampagnen ausgespielten Payloads – meist nutzlose Software wie reimagerepair oder ähnliches. Bei ZDNet gibt es diesen Artikel, über den ich auf das Thema aufmerksam wurde. Hongkong scheint wohl das ‘Paradis’ für solche Firmen zu sein, die Adware über Werbenetzwerke auszuspielen versuchen. Bleibt die Frage, ob sich da rechtlich was tut – schließlich hält China seine Hände über Hongkong.
Kurze Info es gibt einen Vertipper bei der Verschlagwortung
Malvware statt Malware