Besucher von Dailymotion waren Exploitkit Angler ausgesetzt

Die französische Streaming-Website Dailymotion hat Anzeigen ausgeliefert, die Besucher mit dem Exploitkit Angler angriffen. Das konnte die Sicherheitsfirma Malwarebytes nach eigenen Angaben beobachten. Dailymotion steht im Alexa-Ranking der beliebteste Sites an 98. Position. Comscore weist mindestens 128 Millionen Besucher pro Monat aus.

Der Werbeplatz wurde über WWWPromoter ersteigert (Screenshot: ZDNet.de).Die Anzeigenplatzierungen auf Dailymotion werden – wie bei vielen Portalen dieser Art – über Anzeigenmarktplätze vergeben, über einen Echtzeit-Auktionsmechanismus. Die Unbekannten haben sich so offenbar letztlich das Recht ersteigert, Besucher des Videoportals anzugreifen. Dies lief über den Marktplatz WWWPromoter; zum Einsatz kam eine unscheinbare Displaywerbung, die aber über mehrere Umleitungen auf das Angler-Exploitkit verwies. Ein Exploitkit ist eine Software, die den PC eines Opfers automatisch auf nicht behobene Sicherheitslücken abklopft und diese auszunutzen vermag.

„Der falsche Werbetreibende nutzt eine Kombination aus SSL-Verschlüsselung, IP-Blacklisting und JavaScript-Verschleierung. Die bösartige Werbung wird pro potenziellem (echten) Opfer nur einmal angezeigt“, schreibt Malwarebytes. „Zusätzlich erstellt Angler EK einen Fingerabdruck potenzieller Opfer, bevor es seine Exploits startet, um sicherzustellen, dass es sich nicht um einen Sicherheitsforscher, einen Honeypot oder einen Webcrawler handelt.“

Malwarebytes kontaktierte den Betreiber der genutzten Werbeplattform, Atomx. Dieser sagte, der Angriff komme durch einen bösartigen Nutzer von WWWPromoter – und nicht von seiner Plattform. Die Anzeige wurde nach der Entdeckung und Meldung zeitnah entfernt.

Malwarebytes fasst den Fall wie folgt zusammen: „Diese Malvertising-Attacke ist eine der wenigen von uns beobachteten Kampagnen, die weit über die üblichen Vorfälle hinausgehen, die wir täglich beobachten. Die Akteure halten sich gut verborgen und lassen den Anzeigenaufruf harmlos wirken, wenn er unter Laborbedingungen reproduziert wird.“

Einmal mehr wird deutlich, dass sich auch bekannte, viel besuchte Websites für einen Angriff missbrauchen lassen. Ähnlich waren auch schon Yahoo (im Januar 2014) und die britische Daily Mail (im Oktober 2015) missbraucht worden. Selbst wer nur vermeintlich harmlose, weil weithin bekannte Online-Seiten besucht, ist nicht vor Attacken sicher und sollte deshalb über ein möglichst aktuelles Betriebssystem und Anwendungen mit den jüngsten Patches verfügen, um das Infektionsrisiko zu minimieren.

Angler-Attacke via Dailymotion (Diagramm: Malwarebytes)

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de