Firma in Hongkong für Adware in MS-Apps verantwortlich

Publiziert am 22. Juli 2019 von Günter Born

Dem Sicherheitsunternehmen Confiant ist es wohl gelungen, die Firma aufzuspüren, die für die ausgespielte bösartige Werbung (Adware) in Outlook, Microsoft-Spielen und der Microsoft News-App verantwortlich ist. Mit hoher Wahrscheinlichkeit sitzen die Hintermänner in Hongkong und verwenden dort zwei Firmen, die für diese gekaperten Werbekampagnen verantwortlich sind.

Anzeige

Kurzer Rückblick auf die MS-Malvertising-Kampagnen

Ich hatte vorigen Monat im Blog-Beitrag Microsoft Windows 10-Apps öffnen Spam-Werbeseiten über einen solchen Vorfall berichtet. Benutzer einiger Windows 10-Apps wie MS News, bekamen seit Freitag wohl unerwünschte Werbung angezeigt, die die Nutzer auf Webseiten umleitete, die mitteilten, dass man als xxxxter Besucher ein iPhone gewonnen habe. Oder PC sei mit Viren verseucht – was auch Unsinn ist. Ziel dieser Anzeigen ist es, den Benutzer zur Preisgabe seiner Daten oder zum Download eines unnützen Tools zu verleiten.

Blog-Leser Michael W. hatte mich seinerzeit per E-Mail auf das Problem hingewiesen – es war mir aber auch schon im Web und hier unter die Augen gekommen. Michael schrieb:

Am Freitag hatte ich an meinem Arbeitsplatz-PC mehrmals selbständig öffnende Firefox-Registerkarten mit den bekannten „Gewinnspielen": „Lieber Telekom-User, Sie sind möglicher Gewinner eines Gerät X Modell Y". Andere  aufpoppende Seiten wurden serverseitig mit Verbindungsabbruch blockiert.

Der Vorfall wurde bei Microsoft Answers, zum Beispiel im deutschsprachigen Beitrag Windows Apps öffnen Fake-Webseiten mit angeblichen Gewinnspielen oder angeblichen Virenproblemen angesprochen – aber es gibt auch eine englischsprachige Variante, von der nachfolgender Screenshot stammt.


(Adware-Beispiel, Quelle: Microsoft Answers)

Mutmaßlicher Verursacher sitzt in Hongkong

Der Sicherheitsforscher der Plattform Confiant haben das Ganze analysiert und sind sich ziemlich sicher, den Urheber der Kampagne, die den Nutzern einen Virenbefall vorgaukelten oder einen Gewinn versprachen, identifiziert zu haben. Im Blog-Beitrag Hong Kong Based Malvertiser Brokers Traffic To Fake Antivirus Scams — Over 100 Million Ads Compromised In 2019 So Far legen die Sicherheitsforscher ihre Erkenntnisse offen.

Confiant ist eine Firma, die sich darauf spezialisiert hat, bei programmatisch gesteuerten Werbekampagnen ein Hijacking (bei dem bösartige Werbung eingeschleust wird) zu erkennen und zu unterbinden.

Nach einer Analyse des trickreichen Vorgehens des Urhebers (als Malvertiser bezeichnet) der Adware-Kampagnen konnten, laut Confiant, bei einer neuen Kampagne plötzlich Details ermittelt werden. Im März 2019 gab es von einem der Confiant Plattformkunden ein Feedback zu einer Kampagne, auf die das Attributionsmodell des Angreifers passte. Es kam die Information, dass der Käufer der Kampagne die seit Januar 2019 aktive "fiber-ads" sei.

Es konnte dann auch von mehreren Plattformpartnern bestätigt werden, dass Adware genau über diesen Käufer ausgerollt wurde. Gleichzeitig wurde Confiant mitgeteilt, dass dieser Käufer kürzlich mit einer neuen Firmenidentität "Clickfollow" auftrat. Eine Recherche ergab, dass beide Unternehmen ihren Sitz in Hongkong haben:

clickfollow.com
(Webseite von clickfollow.com)

Anzeige

fiber-ads.com
(Webseite von fiber-ads.com)

Weitere Recherchen zu fiber-ads.com ergaben dann einen Einblick in das Geschäftsmodell des Malvertisers. Dieser besitzt ein Profil auf MyMediAds.com – ein Social Network für professionelle Anzeigenkäufer und Verkäufer. Die Aktivitäten des Malvertisers geben wohl zu erkennen, wie dessen Geschäftsmodell funktioniert. Er kauft von anderen Anbietern große Kontingente an Werbeplätzen und füttert diese dann mit seinem Adware-Werbeanzeigen. Der Confiant-Blog-Beitrag zeigt Screenshots aus den MyMediAds.com Aktivitäten des Malvertisers.

Confiant hat die Kampagnen des Malvertisers grafisch über die Zeit aufgetragen. Der Akteur ist sehr aktiv und konnte in Spitzenzeiten 28 und 14,4 Millionen Impressionen seiner Werbung ausspielen. Ab Mitte Juni 2019 wurden über 100 MM Impressionen bedient.

Geblockte Impressionen per Tag in 2019
(Von Confiant geblockte Impressionen pro Tag in 2019, Quelle: Confiant)

Der Confiant-Blog-Beitrag enthält eingehende Analysen der von den Adware-Kampagnen ausgespielten Payloads – meist nutzlose Software wie reimagerepair oder ähnliches. Bei ZDNet gibt es diesen Artikel, über den ich auf das Thema aufmerksam wurde. Hongkong scheint wohl das 'Paradis' für solche Firmen zu sein, die Adware über Werbenetzwerke auszuspielen versuchen. Bleibt die Frage, ob sich da rechtlich was tut – schließlich hält China seine Hände über Hongkong.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Firma in Hongkong für Adware in MS-Apps verantwortlich

  1. Vossi sagt:
    23. Juli 2019 um 21:47 Uhr

    Kurze Info es gibt einen Vertipper bei der Verschlagwortung
    Malvware statt Malware

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.