Malvertising-Kampagne missbraucht Googles DoubleClick für Kryptowährungs-Miner

Originalartikel von Chaoying Liu und Joseph C. Chen

Am 24. Januar beobachteten die Sicherheitsforscher von Trend Micro, dass sich die Zahl der entdeckten Coinhive Web Miner aufgrund einer Malvertising Kampagne verdreifachte. Die Werbeanzeigen auf Sites mit hohem Verkehr nutzten nicht nur Coinhive (von Trend Micro als JS_COINHIVE.GN erkannt), sondern auch einen separaten Web Miner, der in Verbindung stand mit einem privaten Pool. Angreifer missbrauchten Googles DoubleClick, der Internet-Werbedienste entwickelt und zur Verfügung stellt. Die Daten aus dem Trend Micro™ Smart Protection Network™ zeigen, dass zu den von diesen Vorfällen betroffenen Ländern Japan, Frankreich, Taiwan, Italien und Spanien gehören. Trend Micro hat Google über die Entdeckungen informiert.

Eine Analyse der von Malvertisement geplagten Seiten förderte zwei verschiedene eingebettete Web Miner-Skripts zutage und ein Skript, das die Werbung von DoubleClick anzeigt. Die betroffene Webseite zeigt die legitime Werbung, während die beiden Web Miner im Verborgenen ihre Arbeit tun. Wahrscheinlich nutzen die Angreifer diese Werbeanzeigen auf legitimen Websites, um mehr Nutzer anzuziehen. Nach dem 24. Januar nahm der Verkehr infolge der Kryptwährungs-Miner wieder ab.

Bild 1. Aktivitäten der Malvertising-Kampagne vom 18. – 24. Januar

Bild 2. Injection-Ablauf zwischen der legitimen Website und Werbeanzeigen

Technische Einzelheiten liefert der Originalbeitrag.

Gegenmaßnahmen

Das Blockieren von JavaScript-basierten Anwendungen in Browsern kann Coinhive Miner daran hindern, CPU-Ressourcen zu nutzen. Regelmäßiges Patchen und Updaten der Software – vor allem von Web Browsern – kann die Auswirkungen von Kryptowährungs-Malware und anderen Bedrohungen, die Systemlücken ausnützen, mindern.

Die Lösung Smart Protection Suites kann über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern, und Trend Micro Worry-Free Services Advanced kann Endanwender und Unternehmen vor Bedrohungen schützen, denn sie erkennt und blockiert bösartige Dateien und alle zugehörigen URLs.

Die Indicators of Compromise (IoC) sind ebenfalls im Originalbeitrag enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.