![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Dem Sicherheitsunternehmen Confiant ist es wohl gelungen, die Firma aufzusp\u00fcren, die f\u00fcr die ausgespielte b\u00f6sartige Werbung (Adware) in Outlook, Microsoft-Spielen und der Microsoft News-App verantwortlich ist. Mit hoher Wahrscheinlichkeit sitzen die Hinterm\u00e4nner in Hongkong und verwenden dort zwei Firmen, die f\u00fcr diese gekaperten Werbekampagnen verantwortlich sind.<\/p>\n
<\/p>\n
Blog-Leser Michael W. hatte mich seinerzeit per E-Mail auf das Problem hingewiesen \u2013 es war mir aber auch schon im Web<\/a> und hier<\/a> unter die Augen gekommen. Michael schrieb:<\/p>\n Am Freitag hatte ich an meinem Arbeitsplatz-PC mehrmals selbst\u00e4ndig \u00f6ffnende Firefox-Registerkarten mit den bekannten \u201eGewinnspielen\": \u201eLieber Telekom-User, Sie sind m\u00f6glicher Gewinner eines Ger\u00e4t X Modell Y\". Andere\u00a0 aufpoppende Seiten wurden serverseitig mit Verbindungsabbruch blockiert.<\/p><\/blockquote>\n Der Vorfall wurde bei Microsoft Answers, zum Beispiel im deutschsprachigen Beitrag Windows Apps \u00f6ffnen Fake-Webseiten mit angeblichen Gewinnspielen oder angeblichen Virenproblemen<\/a> angesprochen \u2013 aber es gibt auch eine englischsprachige Variante<\/a>, von der nachfolgender Screenshot stammt.<\/p>\n <\/a> Der Sicherheitsforscher der Plattform Confiant<\/a> haben das Ganze analysiert und sind sich ziemlich sicher, den Urheber der Kampagne, die den Nutzern einen Virenbefall vorgaukelten oder einen Gewinn versprachen, identifiziert zu haben. Im Blog-Beitrag Hong Kong Based Malvertiser Brokers Traffic To Fake Antivirus Scams \u2014 Over 100 Million Ads Compromised In 2019 So Far<\/a> legen die Sicherheitsforscher ihre Erkenntnisse offen.<\/p>\n Confiant ist eine Firma, die sich darauf spezialisiert hat, bei programmatisch gesteuerten Werbekampagnen ein Hijacking (bei dem b\u00f6sartige Werbung eingeschleust wird) zu erkennen und zu unterbinden.<\/p><\/blockquote>\n Nach einer Analyse des trickreichen Vorgehens des Urhebers (als Malvertiser bezeichnet) der Adware-Kampagnen konnten, laut Confiant, bei einer neuen Kampagne pl\u00f6tzlich Details ermittelt werden. Im M\u00e4rz 2019 gab es von einem der Confiant Plattformkunden ein Feedback zu einer Kampagne, auf die das Attributionsmodell des Angreifers passte. Es kam die Information, dass der K\u00e4ufer der Kampagne die seit Januar 2019 aktive \"fiber-ads\" sei.<\/p>\n Es konnte dann auch von mehreren Plattformpartnern best\u00e4tigt werden, dass Adware genau \u00fcber diesen K\u00e4ufer ausgerollt wurde. Gleichzeitig wurde Confiant mitgeteilt, dass dieser K\u00e4ufer k\u00fcrzlich mit einer neuen Firmenidentit\u00e4t \"Clickfollow\" auftrat. Eine Recherche ergab, dass beide Unternehmen ihren Sitz in Hongkong haben:<\/p>\n Weitere Recherchen zu fiber-ads.com<\/em> ergaben dann einen Einblick in das Gesch\u00e4ftsmodell des Malvertisers. Dieser besitzt ein Profil auf MyMediAds.com <\/em>– ein Social Network f\u00fcr professionelle Anzeigenk\u00e4ufer und Verk\u00e4ufer. Die Aktivit\u00e4ten des Malvertisers geben wohl zu erkennen, wie dessen Gesch\u00e4ftsmodell funktioniert. Er kauft von anderen Anbietern gro\u00dfe Kontingente an Werbepl\u00e4tzen und f\u00fcttert diese dann mit seinem Adware-Werbeanzeigen. Der Confiant-Blog-Beitrag zeigt Screenshots aus den MyMediAds.com <\/em>Aktivit\u00e4ten des Malvertisers.<\/p>\n Confiant hat die Kampagnen des Malvertisers grafisch \u00fcber die Zeit aufgetragen. Der Akteur ist sehr aktiv und konnte in Spitzenzeiten 28 und 14,4 Millionen Impressionen seiner Werbung ausspielen. Ab Mitte Juni 2019 wurden \u00fcber 100 MM Impressionen bedient.<\/p>\n Der Confiant-Blog-Beitrag enth\u00e4lt eingehende Analysen der von den Adware-Kampagnen ausgespielten Payloads \u2013 meist nutzlose Software wie reimagerepair oder \u00e4hnliches. Bei ZDNet gibt es diesen Artikel<\/a>, \u00fcber den ich auf das Thema aufmerksam wurde. Hongkong scheint wohl das 'Paradis' f\u00fcr solche Firmen zu sein, die Adware \u00fcber Werbenetzwerke auszuspielen versuchen. Bleibt die Frage, ob sich da rechtlich was tut \u2013 schlie\u00dflich h\u00e4lt China seine H\u00e4nde \u00fcber Hongkong.<\/p>\n","protected":false},"excerpt":{"rendered":" Dem Sicherheitsunternehmen Confiant ist es wohl gelungen, die Firma aufzusp\u00fcren, die f\u00fcr die ausgespielte b\u00f6sartige Werbung (Adware) in Outlook, Microsoft-Spielen und der Microsoft News-App verantwortlich ist. Mit hoher Wahrscheinlichkeit sitzen die Hinterm\u00e4nner in Hongkong und verwenden dort zwei Firmen, die … Weiterlesen Ich hatte vorigen Monat im Blog-Beitrag Microsoft Windows 10-Apps \u00f6ffnen Spam-Werbeseiten<\/a> \u00fcber einen solchen Vorfall berichtet. Benutzer einiger Windows 10-Apps wie MS News, bekamen seit Freitag wohl unerw\u00fcnschte Werbung angezeigt, die die Nutzer auf Webseiten umleitete, die mitteilten, dass man als xxxxter Besucher ein iPhone gewonnen habe. Oder PC sei mit Viren verseucht \u2013 was auch Unsinn ist. Ziel dieser Anzeigen ist es, den Benutzer zur Preisgabe seiner Daten oder zum Download eines unn\u00fctzen Tools zu verleiten.<\/p>\n
\n(Adware-Beispiel, Quelle: Microsoft Answers)<\/p>\nMutma\u00dflicher Verursacher sitzt in Hongkong<\/h2>\n
![\"clickfollow.com\"](\"https:\/\/miro.medium.com\/max\/700\/1*HmGXrFI1e2e4XyyinzZkIQ.png\" "\\"clickfollow.com\\"")
\n(Webseite von clickfollow.com<\/em>)<\/p>\n![\"fiber-ads.com\"](\"https:\/\/miro.medium.com\/max\/700\/1*0wJcZW3OVgQYz7BY6tYOGQ.png\" "\\"fiber-ads.com\\"")
\n(Webseite von fiber-ads.com)<\/p>\n![\"Geblockte](\"https:\/\/miro.medium.com\/max\/700\/1*at4LSFc4p6RcayQp3t50iQ.png\" "\\"Geblockte")
\n(Von Confiant geblockte Impressionen pro Tag in 2019, Quelle: Confiant)<\/p>\n