Malvertising vormt een groeiende bedreiging in de online advertentiewereld. Malvertising is een samentrekking van ‘malicious’ (kwaadaardig) en ‘advertising’ (adverteren). Het staat voor het inzetten van online advertenties om malware te verspreiden. Deze vorm van cybercriminaliteit maakt handig gebruik van de populariteit van digitale advertenties om nietsvermoedende gebruikers te bereiken en hun apparaten te besmetten.
Deze geavanceerde vorm van cyberaanvallen verweeft zich naadloos met legitieme advertentiestromen, waardoor het bijzonder moeilijk te detecteren is. Advertentienetwerken worden onbedoeld gebruikt als doorgeefluik voor kwaadaardige code, terwijl argeloze internetgebruikers het doelwit worden zonder enige waarschuwing vooraf.
De methoden worden steeds verfijnder. Criminelen richten zich specifiek op hoogwaardige websites en infiltreren gerespecteerde advertentienetwerken met ogenschijnlijk betrouwbare campagnes. Het verontrustende is dat zelfs gerenommeerde platforms niet immuun blijken voor deze aanvallen. Dit ondermijnt het fundament van digitale reclame en het vertrouwen van gebruikers in online platforms.
Recent voorbeeld
Onlangs is een nieuwe grootschalige campagne ontdekt die de Lumma infostealer malware verspreidt via nep captcha-pagina’s, waarbij gebruik wordt gemaakt van malvertising om zwakke punten in het digitale advertentie-ecosysteem uit te buiten. Criminelen wisten duizenden slachtoffers te maken door het stelen van inloggegevens.
De campagne, ontdekt door Guardio Labs en Infoblox onderzoekers, maakt gebruik van Monetag, een dochteronderneming van PropellerAds, om kwaadaardige captcha-pagina’s te verspreiden. Gebruikers komen deze misleidende pagina’s tegen tijdens het browsen op legitiem ogende websites, waar ze worden gevraagd hun identiteit te verifiëren door een captcha in te vullen.
Het proces voert echter een PowerShell-commando uit, waarbij malware wordt geïnstalleerd die gericht is op het stelen van gevoelige gegevens zoals social media-inloggegevens, bankinformatie en persoonlijke bestanden.
Advertentie netwerken misbruikt
Guardio Labs benadrukte hoe de infrastructuur van advertentienetwerken dergelijke campagnes mogelijk maakt. Monetag’s advertentiescripts maken gebruik van verkeersdistributiesystemen (TDS) om bezoekers te analyseren en advertentieplaatsing te optimaliseren. Deze systemen, ontworpen voor legitieme advertenties, worden misbruikt om op grote schaal kwaadaardige inhoud te verspreiden.
Malvertising-campagnes zoals deze gedijen door gefragmenteerde verantwoordelijkheid. Advertentienetwerken, trackingdiensten, uitgevers en hostingproviders spelen elk een rol maar ontlopen vaak verantwoordelijkheid. Aanvallers buiten deze hiaten verder uit door goedaardige advertenties na goedkeuring te verwisselen voor kwaadaardige.
Wees op je hoede
Twee jaar geleden waarschuwde de FBI voor dit soort oplichting die via gekochte advertenties wordt uitgevoerd, maar sindsdien is er weinig gebeurd om dit te voorkomen. Sterker nog…. beveiligingsleverancier Netskope meldde onlangs dat volgens hun telemetrie het aantal phishingkliks in 2024 is verdrievoudigd, waarbij SEO poisoning en malvertising bijdragen aan de verontrustende stijging, omdat criminelen hun activiteiten buiten de inbox verplaatsen.
Dit is ook geen probleem dat kan worden opgelost met tweefactorauthenticatie of vergelijkbare methoden. Daarnaast is bovengenoemd PropellerAds niet het enige bedrijf dat met dit probleem kampt, want dit speelt ook via bijvoorbeeld Google of andere advertentienetwerken in combinatie met zoekmachines.
Voor individuele gebruikers blijft waakzaamheid essentieel. Naast het gebruik van actuele beveiligingssoftware en adblockers, is het cruciaal om alert te zijn op ongebruikelijke browseractiviteit of ongevraagde downloads. De onduidelijke aansprakelijkheid bij schadegevallen onderstreept het belang van het nemen van eigen verantwoordelijkheid en preventieve maatregelen.
Check bijvoorbeeld de volgende dingen:
- Controleer URL’s zorgvuldig
Let op subtiele spelfouten of ongebruikelijke tekens in een link. Hackers imiteren vaak legitieme websites. - Bezoek websites rechtstreeks
Sla de advertentielink over en ga direct naar de officiële website van het merk. Als er echt een aanbieding is, vind je die daar. - Vermijd inloggen via advertenties
Voer je inloggegevens niet in na het klikken op een advertentie, ook niet als de site er betrouwbaar uitziet. Open de site liever in een nieuw tabblad. - Negeer telefoonnummers in advertenties
Sommige advertenties bevatten telefoonnummers. Deze zijn vaak onderdeel van oplichting met als doel persoonlijke gegevens te stelen. - Download niet direct via advertenties
Klik niet op directe downloadlinks in advertenties. Deze installeren vaak malware in plaats van de beloofde software.
Deze vorm van cybercriminaliteit blijft zich ontwikkelen, waarbij aanvallers constant nieuwe methoden verkennen om beveiligingsmaatregelen te omzeilen. Zeker nu criminelen steeds meer AI gebruiken om dit soort zaken op te zetten.
Alleen door continue waakzaamheid en nauwe samenwerking tussen alle betrokken partijen kan deze digitale dreiging effectief worden bestreden. De uitdaging blijft om een balans te vinden tussen toegankelijke online advertenties en robuuste beveiliging.
Bleepingcomputers heeft een mooie analyse online gezet over deze fake captcha campagne te lezen op https://www.bleepingcomputer.com/news/security/malicious-ads-push-lumma-infostealer-via-fake-captcha-pages/
