Aktualisiert 12.04.2016 10:15

Schädlicher CodeMalware-Attacke auf mehreren Plattformen

Von der Malware-Attacke vom Dienstag sind neben 20minuten.ch mehrere weitere Plattformen betroffen. Dies teilt die verantwortliche Swisscom-Tochter Improve Digital mit.

von
tob
Im aktuellen Fall wurde Malware über ein Anzeigennetzwerk ausgeliefert, das zur Swisscom gehört. Laut der Firma Improve Digital wurde der schädliche Code auch auf anderen Plattformen ausgeliefert. Welche, teilte das Unternehmen nicht mit.

Im aktuellen Fall wurde Malware über ein Anzeigennetzwerk ausgeliefert, das zur Swisscom gehört. Laut der Firma Improve Digital wurde der schädliche Code auch auf anderen Plattformen ausgeliefert. Welche, teilte das Unternehmen nicht mit.

Bloomberg

Über das Desktopangebot von 20 Minuten ist am Montag erneut Malware ausgeliefert worden. Bei dem aktuellen Vorfall handelt es sich um sogenanntes Malvertising. Ein Kunstwort, das sich aus den Begriffen Malware und Advertising zusammensetzt.

Beim Malvertising versuchen Cyberkriminelle Schadsoftware über manipulierte Werbung an die Besucher von Websites auszuliefern. Im konkreten Fall handelte es sich um eine manipulierte Anzeige, die beim Werbenetzwerk Improve Digital aufgeschaltet wurde. Die Firma ist international tätig und ein Tochterunternehmen der Swisscom.

Weitere Plattformen betroffen

Das kompromittierte Javascript in der unsauberen Anzeige versuchte auf Windows-PCs den Trojaner Bedep zu installieren (siehe Box). Dabei wurde die Website von 20 Minuten als Mittelsmann missbraucht, um die Malware auszuliefern.

In der Nacht auf Dienstag bestätigte Improve Digital, dass die Trojaner-Attacke nicht auf 20 Minuten beschränkt ist: «Momentan scheint es, dass die Malware über mehrere Publisher verteilt wurde. Die Zahl betroffener User zu schätzen, ist zurzeit aber unmöglich», liess die Firma verlauten. Und weiter: «Die Sicherheitsfirma, die uns unterstützt, hat bislang keine aktiven Infektionen festgestellt, aber das bedeutet nicht, dass niemand infiziert wurde. Wir sind mit Hochdruck daran, den Ursprung der Manipulation zu finden.»

Die Swisscom hat Improve Digital mit der Übernahme der Publigroupe im Jahr 2014 übernommen. Laut Swisscom-Sprecher Armin Schädeli wurde die Malware «identifiziert und sofort entfernt». Improve Digital sei nun gemeinsam mit externen Sicherheitsexperten an der Ursachenanalyse. Weitere Details könne man erst liefern, sobald die Erkenntnisse vorlägen. Tamedia hat als Vorsichtsmassnahme sämtliche Anzeigen von Improve Digital, die heikle Werbung ausliefern könnten, deaktiviert. Weitere Informationen von Improve Digital selber waren am Montag nicht zu erhalten.

20 Minuten hat den IT-Sicherheitsexperten Stefan Friedli von der Firma Scip AG gebeten, den aktuellen Vorfall einzuschätzen.

Herr Friedli, wie ist möglich, dass jemand einfach so bei einem Werbenetzwerk Malware einschleusen kann?

Stefan Friedli: Ich kenne die Internas und Abläufe des entsprechenden Netzwerkes nicht. Es ist davon auszugehen, dass die Urheber der Malvertisement-Kampagne Zugang zur Plattform hatten, entweder mittels eines eigenen Accounts oder mittels eines Accounts eines kompromittierten Werbekunden. Der Schadcode, der auf den betreffenden Seiten aufschlägt, wurde dort hinterlegt und offensichtlich nicht durch die Plattform als problematisch erkannt.

Sind die Sicherheitsstandards eventuell nicht gut genug?

Die New York Times hatte 2009 dasselbe Problem. Neu ist das Phänomen also nicht. Das Wort «Standard» impliziert in diesem Fall aber, dass es klare Vorgaben gibt, was in diesem Fall kaum der Fall ist. Aber: Webseitenbetreiber und ihre Partner sind natürlich dafür verantwortlich, dass die ausgelieferten Inhalte die Besucher ihrer Seite nicht gefährden. Man kann den schwarzen Peter hier beliebig hin- und herschieben, aber am Ende müssen bessere Mechanismen geschaffen werden. Wenn das nicht passiert, werden Unternehmen und Endkunden ihre eigenen Lösungen finden.

Welche Massnahmen könnte der Betreiber des Werbenetzwerks, in diesem Fall Improve Digital treffen, damit das künftig nicht mehr geschieht?

Es ist immer problematisch, wenn Inhalte jeglicher Art aus unvertrauenswürdiger Quelle an Benutzer ausgeliefert werden. Ein Anbieter muss hier sicherstellen, dass sämtliche Eingaben des Datenlieferanten sauber validiert werden. Einem Werbekunden zu erlauben, ohne intensive manuelle Prüfung vor Veröffentlichung, beliebigen Javascript-Code, Flash-Dateien oder Java Applets zu publizieren, ist tendenziell sehr, sehr heikel. Inwiefern das im vorliegenden Fall gegeben ist, oder ob zusätzliche eine Schwachstelle im Portal des Anbieters ausgenutzt wurde ist mir unbekannt – Handlungsbedarf gibt es so oder so.

Der Bedep-Trojaner

Bei der besagten Schadsoftware handelt es sich um den Trojaner Bedep. Potenziell in Gefahr sind Windows-Systeme. Befindet sich der Trojaner auf dem System, versucht das Tool weitere Hintertüren für Angreifer zu öffnen. Der Norton Power Eraser (Anleitung) kann eine Infektion laut Candid Wüest, Virenjäger bei Symantec, erkennen und beseitigen. Auch andere aktuell gehaltene Antivirensoftware sollte die Malware löschen können. Grundsätzlich gilt es, die eigene Antiviren-Software sowie den verwendeten Browser immer auf dem neusten Stand zu halten.

Deine Meinung

Fehler gefunden?Jetzt melden.