Malware: DoubleClick und Zedo liefern Schadcode aus

Angreifer haben manipulierte Werbeanzeigen genutzt, um die Malware Zemot zu verbreiten. Die Werbeanzeigen führen Internetnutzer zu Exploit-Kits, die den betroffenen PC systematisch nach Sicherheitslücken in Adobe Flash oder ungepatchten Versionen des Internet Explorers absuchen.

Malvertising ist kein neues Phänomen, die Größenordnung der Angriffe überraschte allerdings selbst die Sicherheitsforscher von Malwarebytes. Neben dem Musikdienst Last.fm waren auch die Seiten der The Times of Israel und The Jerusalem Post betroffen.

Ein Zugriff auf die Internetseite ist bei dieser Art des Angriffs nicht nötig, „Das Problem hat seinen Ursprung bei den Werbenetzwerken“, resümiert Sicherheitsforscher Jérôme Segura. Die präparierten Werbeanzeigen laden versteckt externe Inhalte nach, was von den Sicherheitsmechanismen der Werbenetzwerken nicht immer entdeckt wird. Das Werbenetzwerk Zedo betonte, das Problem schnell und unter enormen Einsatz gelöst zu haben, Mitarbeiter seien aus dem Bett und Urlaub geholt worden. Die Masche soll rund zwei Wochen unentdeckt geblieben sein. Nutzer mit aktueller Antivirensoftware seien dabei nicht gefährdet gewesen. Zemot, das die eigentliche Mal- oder Spyware nach erfolgreicher Infiltration herunterlädt, ist zudem auf alte 32-Bit-Windows-XP-Systeme ausgelegt, so dass aktuelle Systeme nicht gefährdet waren.

Erst Anfang September identifizierte Cisco Systems auf Amazon, YouTube und Yahoo Malvertising, welche den Nutzer auf infizierte Seiten weiterleiteten. Dabei greifen die Angreifer auf eine große Anzahl von Domains zurück, was die Wirksamkeit von auf Reputation basierenden Sicherheitslösungen stark einschränkt.