Malicious advertising, or malvertising, as it is commonly known, is the practice of placing malicious code into legitimate ads.
Diese Malvertising-Kampagnen verbreiten dann Malware oder Phishing-Kampagnen und bleiben von Plattformen und Herausgebern oft unbemerkt, bis Endbenutzer sie auf den Malvertising-Angriff aufmerksam machen.
Malvertising poses a huge threat to the entire digital advertising landscape.
Not only does it tarnish the user experience, but it can also cause irreparable damage to the publisher's reputation. Further to this, it drives the deployment of ad blockers, reducing the number of impressions served and impairing publishers’ ability to earn a valuable revenue stream.
Da Malvertising auf dem Vormarsch ist – aktuellen Studien zufolge enthält eine von 100 Anzeigen schädliche Inhalte – müssen seriöse Websites die Bedrohungen sowohl auf der Angebots- als auch auf der Nachfrageseite im Griff behalten, um diesen potenziell verheerenden Malvertising-Angriffen entgegenwirken zu können.
Was ist Malvertising und warum ist es schlecht für Publisher?
Malvertising, a portmanteau of malicious software and advertising, is the use of online, malicious advertisements to spread malware and compromise systems. This is generally enacted by malicious actors, or hackers, injecting malicious code into legitimate online advertising networks. The malicious actors behind this code usually pay legitimate advertising networks to display these infected ads on various websites without the ad network or legitimate websites having any knowledge that these harmful ads are being served to unsuspecting users.
Eines der problematischsten Elemente von Malvertising besteht darin, dass die infizierte Anzeige genauso aussieht wie jede andere legitime Anzeige auf einer Seite. Nicht einmal die Herausgeber sind sich bewusst, dass sie auf ihrer Website eine bösartige Anzeige schalten. Aufgrund der Komplexität von Programmatic Advertising ist es nahezu unmöglich, jede Anzeige zu kontrollieren, die die Auktion gewinnt und dem Leser präsentiert wird. In der Vergangenheit trafen Malvertising-Angriffe große Nachrichtenportale, bei denen renommierte Herausgeber – wie etwa die New York Times, die BBC oder Yahoo – bösartige Anzeigen schalteten, ohne es zu wissen. Es gibt jedoch einige Möglichkeiten, das Risiko zu verringern, dass auf der Seite eines Herausgebers eine bösartige Anzeige geschaltet wird. Wir werden gleich darauf eingehen.
Let’s establish two more things before diving deeper into malvertising. What is the reason people hide malicious codes behind ads, and why is it so bad for publishers if it infects the visitors?
Well, the answer to the first question is easy – money. The code injected behind an ad can cause many actions, including stealing the visitor’s financial data.
Damit kommen wir zur zweiten Frage. Wenn ein Besucher Ihre Website besucht und eine Anzeige angezeigt bekommt, die ihm Probleme bereitet, wird er Ihre Seite höchstwahrscheinlich nie wieder besuchen. Dies führt zu einem Verlust von Traffic und Werbeeinnahmen , was alle Publisher gerne vermeiden möchten.
How Does Malvertising Work?
Malvertising occurs when a malicious actor hides malicious code into an otherwise legitimate advertisement. This then directs the user to a malicious website or compromised server. When the user’s system successfully connects to the server, an exploit kit then executes. Exploit kits operate by detecting and then exploiting, any vulnerabilities they find on the user’s system.
What is the Difference Between Malvertising and Adware?
Malvertising is often mistakenly confused with adware, and understandably so. Adware is another major online threat to users; however, it operates differently from malvertising.
Der Hauptunterschied zwischen Malvertising und Adware besteht darin, wo sich die Infektion befindet. Während Malvertising darauf abzielt, Schadcode in das Werbenetzwerk einzufügen, installiert Adware Schadsoftware auf dem Computer des Benutzers.
How Malvertising is Injected Into Ads
There are several ways malware can get served on your website. A user can get affected by malware even when they don’t click on the ad at all.
That means there are different ways of how malware is inserted into ads ranging from within a pixel to an injected post-click.
Malware In Ad Calls: When a website displays an ad, a selection of third-party users bid for that ad space via an ad exchange. One or more of these may be compromised by an attacker who can include malicious code in the ad payload.
Post-Click Malware: When a user clicks on an advertisement, they are usually redirected along a chain of URLs, the final of which is the ad landing page. Malware injected post-click occurs when an attacker compromises any of the URLs along this delivery path.
Malware in Ad Creative: Many malvertising attacks occur via malware embedded in a banner or text ad. Ads that used to employ adobe flash were particularly vulnerable in the past, which contributed to flash being discontinued in late 2020.
Malware in einem Video: Videoanzeigen sind besonders tückisch, da Videoplayer keinen Schutz vor Malware bieten. Es gibt mehrere Möglichkeiten, wie ein Video einen Benutzer in Mitleidenschaft ziehen kann. Auch ohne das Video abzuspielen, kann ein Leser dem Schadcode ausgesetzt werden, da dieser in das Pre-Roll-Bild eingefügt werden kann. Oder nachdem ein Benutzer das Video gesehen hat, kann erneut eine URL eingefügt werden, die den Leser auf eine falsche Zielseite führt.
Malware in einem Pixel: Ein normales Pixel auf einer Webseite sendet Daten, wenn ein Besucher die Seite betritt, und dient damit der Nachverfolgung. Wird es jedoch gehackt, kann es einen Schadcode an das Gerät des Benutzers senden und eine unerwünschte Aktion auslösen. Auf diese Weise muss der Benutzer nicht einmal auf die Anzeige klicken.
Haupttypen von Malvertising-Kampagnen
As the world of digital advertising has evolved, so too have the different malvertising strategies employed by cybercriminals.
Here are some of the more common examples of malvertising campaigns.
Steganography
Stenografie, die uralte Technik, geheime Nachrichten und Bilder in anderen Texten und Bildern zu verbergen, wird seit Kurzem auch von Cyberkriminellen eingesetzt, um Schadcode in Werbebildern zu verbergen.
Polyglot-Bilder
Polyglot images take the implementation of stenography one step further. Not only do they have the code for the malware, but they also include the scripts required to execute and launch the attack. Polyglot images contain not only the initial hidden payload but are able to speak several languages.
With no need for an external script to extract the malware package, polyglots are a sophisticated and dangerous form of malicious advertising.
Betrug beim technischen Support
Tech support scams involve tricking users into thinking there is a technical issue with their device or operating system. These ads typically install a form of malware that hijacks the users
browser, directing them to call a number to fix the ‘problem’.
Tech support scammers on the other end of the line then work to extract money and information from unsuspecting users.
Scareware
Operating with similar social engineering tactics to tech support scams, scareware attempts to scare users into thinking that their computer has a malware infection or other technical problem.
However, rather than directing users to a call center, scareware attempts to scare users into downloading fake anti-virus software. The irony of scareware is that the ‘anti-virus software’ advertised to fight malware is often malware itself.
Get Rich Quick Schemes and Fake Surveys
The internet is littered with advertisements for get-rich-quick schemes and fake surveys offering big payouts. While these malvertising ads promise big rewards, they are more likely to be injected with a malware infection than the legitimate opportunity to make money. If something looks too good to be true, it probably is.
Fake Software Updates
Fake software updates are a popular malvertising technique that pretends to offer users legitimate software updates and other popular downloads, often for security and performance purposes. However, once clicked, these ads install unwanted software such as spyware, viruses, or other malware. Users can avoid this malvertising by ensuring that they download their software from a first-party vendor such as the app store.
How Users Are Affected By Malvertising
There are two ways a visitor can get affected by the malicious software hidden behind an ad.
1. Ohne auf die bösartige Anzeige zu klicken
Das Tückische an Malvertising ist, dass Benutzer nicht einmal auf die bösartige Anzeige klicken müssen, um in Schwierigkeiten zu geraten. Das Laden einer Seite mit der bösartigen Anzeige reicht oft aus, um das Gerät des Benutzers zu infizieren. Diese Art des Malvertising-Angriffs wird als Drive-by-Download bezeichnet. Das bloße Laden der Webseite, auf der sich die Spam-Anzeige befindet, reicht aus, um die bösartige Aktivität auszulösen, die zur Infektion des Computers des Benutzers führt.
2. Durch Klicken auf die bösartige Anzeige
The second way a user can get affected is actually clicking on the ad, while
believing it is a legitimate ad.
Nachdem ein Besucher mit der bösartigen Anzeige konfrontiert wurde, können verschiedene Aktionen folgen. Zu den häufigsten gehört die Installation von:
- Ransomware – eine Art von Malware, die einem Benutzer den Zugriff auf sein Gerät verweigert und eine Zahlung verlangt, um es zurückzubekommen. Ransomware kann auch die Dateien des Benutzers verschlüsseln und wiederum eine Zahlung verlangen, um sie wiederherzustellen.
- Spyware – ermöglicht vollständigen Zugriff auf den Computer, beobachtet die Aktivitäten des Benutzers und meldet sie an den Autor der Software. Auf diese Weise können alle Passwörter und finanziellen oder vertraulichen Informationen des Benutzers offengelegt werden.
- Adware – adware is a widespread type of malware where a user is repeatedly exposed to pop-up ads on their computer. The purpose of such ads is for the user to eventually click one of them and install another software that is usually paid for.
None of these actions are naturally desired by the user and can even happen without the visitor’s knowledge, such as when being affected by spyware.
Aus diesem Grund müssen Leser und Herausgeber Maßnahmen ergreifen, um zu verhindern, dass es überhaupt erst zu Übergriffen auf Malvertising kommt.
Benutzer sind sich normalerweise der Möglichkeit bösartiger Anzeigen bewusst und versuchen sich häufig zu schützen, indem sie gute Antivirenprogramme installieren oder Java-, Adobe Reader- oder Flash-Codes nicht verwenden, um die Wahrscheinlichkeit zu verringern, auf schädlichen Code zu stoßen. Manchmal installieren Leser Werbeblocker , was dann direkt zu geringeren Werbeeinnahmen des Herausgebers führen kann.
When a user does not protect themself and ends up being affected by the bad ad, they are most likely to never come back to your page, and they may tell people about their poor experience. The subsequent effects are a publisher’s damaged reputation, loss of traffic, and ad revenues.
Malvertising Examples
When hackers manage to slip infected ads into popular ad networks, no publisher, big or small, is immune to these malvertising attacks.
However, by understanding where and how previous major malvertising attacks were implemented, publishers may be better equipped to protect themselves in the future.
These malvertising campaigns were particularly notable.
Spotify 2011
In 2011, the free desktop version of Spotify was targeted by malicious ads, as hackers attempted to attack Windows users with the Blackhole exploit kit.
Users didn’t have to click on the ad to be affected. Once the users' systems had connected to an outside IP address, the exploit kit attempted to exploit a range of vulnerabilities, including flaws affecting Adobe Reader and Acrobat.
Ziel dieses Malvertising-Angriffs war es, Benutzer dazu zu bringen, die gefälschte Antivirusanwendung „Windows Recovery“ auf ihre Systeme herunterzuladen.
This malvertising attack was particularly notable, as the malvertising campaign launched inside the app.
AdGholas 2016
Der vielleicht am besten dokumentierte Malvertising-Angriff erfolgte 2016 über AdGholas. Dabei wurden täglich Tausende von Benutzern mithilfe einer fortschrittlichen Kombination aus Techniken, darunter hochentwickelte Filterung und Steganografie, infiziert.
Hitting significant sites such as Yahoo, MSN, and other big-name outlets using an ad for fake software which redirected victims to a malicious landing page that used several Flash exploits to download and install malware.
COVID-19 2020
Hosting an exploit kit from the domain covid19onlineinfo[.]com, cybercriminals recently targeted users of Internet Explorer using a fake advisory notice.
The attack used the Fallout exploit kit to attack users still operating the outdated Internet Explorer browser installing malware that could steal personal data and passwords.
How Publishers Can Protect Themselves from Malware
Um Ihre Webseite und Ihre Leser als Herausgeber zu schützen, können Sie mit verschiedenen Unternehmen zusammenarbeiten, die Technologien zur Identifizierung von mit Schadcodes infizierten Anzeigen anbieten.
- Confiant – Confiant bietet eine Anzeigenverifizierungstechnologie, die alle Arten bösartiger Creatives automatisch und in Echtzeit identifizieren und blockieren soll.
- Geoedge – Die Technologie von GeoEdge schützt vor Nichteinhaltung von Vorschriften, Malware, unangemessenen Inhalten, Datenlecks sowie Betriebs- und Leistungsproblemen.
- Adwizard – Publift hat eine Technologie entwickelt, die viele Funktionen bietet, darunter das Blockieren von schlechten Anzeigen. Unsere Google Chrome-Erweiterung gibt Benutzern die Möglichkeit, in Echtzeit fundierte Entscheidungen über Anzeigen auf einer Webseite zu treffen. Ein Benutzer kann Informationen vom Anzeigenserver und die Header-Bidding- Leistung an einem Ort anzeigen, und Premium-Benutzer und Publift-Mitglieder haben den zusätzlichen Vorteil, problematische Anzeigeneinheiten zu identifizieren und sie mit einem einzigen Klick zu blockieren.
Abschluss
Malvertising ist ein andauerndes Problem, bei dem eine bösartige Anzeige mit einem fehlerhaften Code auf der Seite eines Herausgebers angezeigt wird, oft ohne das Wissen des Herausgebers und des Lesers. Durch das Laden der Seite und Anzeigen der Anzeige kann das Gerät des Besuchers mit verschiedenen Arten von Malware infiziert werden, was zu Datenverlust oder Zugriffsverlust auf das Gerät führen kann.
Malvertising negatively impacts the publisher’s reputation and leads to a subsequent loss of traffic and ad revenue. Publishers should protect their readers and their webpage from malicious ads by installing one of the technologies available on the market. Get in touch with Publift to find out more about Adwizard, which is protecting more than a thousand publishers on the market.
If you’re making more than $2,000 in monthly ad revenue, contact us today to learn more about how Publift can help increase your ad revenue and best optimize the ad space available on your website or app.