Malware Downloads via Ads

Das »Google Anti-Malware Team« berichtet, dass mehr als 1% der täglichen Suchanfragen bei Google mindestens ein als Malware gekennzeichnetes Ergebnis zurückliefert. Diese Ergebnisse wurden weiter ausgiebig erforscht, ein erster technischer Report [PDF] liegt jetzt vor.

Today, a lot of third-party content is due to advertising. To assess the extent to which advertising contributes to drive-by downloads, we analyze the distribution chain of malware, i.e. all the intermediary URLs a browser downloads before reaching a malware payload. We inspected each distribution chain for membership in about 2,000 known advertising networks. If any URL in the distribution chain corresponds to a known advertising network, we count the whole page as being infectious due to Ads. In our analysis, we found that on average 2% of malicious web sites were delivering malware via advertising. The underlying problem is that advertising space is often syndicated to other parties who are not known to the web site owner. Although non-syndicated advertising networks such as Google Adwords are not affected, any advertising networks practicing syndication needs to carefully study this problem.

Zwei von Hundert erscheint natürlich zunächst mal ein kleiner Satz, aber wirft natürlich trotzdem einen dunklen Schatten auf das Werbegeschäft. Tatsächlich können Sitebetreiber, auch ohne Mitgliedschaft in Adnetzwerken oft nur noch wenig Einblick in die Techniken nehmen, mit denen auf ihren Seiten Werbung betrieben wird: sie deligieren ihre Adplätze an die Adserver-Betreiber, die reichen oft an Agenturserver weiter – spätestens dort kann man nichts mehr überprüfen… Und das sind nur die direkten Versuche Malware einzubinden (plus das Ausspähen von Benutzerdaten, Sessionhijacking etc. pp.), gegen mehrmalige Weiterleitungen über x Server hin zu einem automatischen Malwaredownload kann man sich praktisch gar nicht zur Wehr setzen. Das Ads auf Webseiten so billig sind stellt letztendlich ein Sicherheitsrisiko da.