Malvertising: Wenn die Anzeige selbst der Angriff ist
Security & Privacy

Malvertising: Wenn die Anzeige selbst der Angriff ist

Seriöse Ad-Networks spielen über Banner auf vertrauten Seiten Drive-by-Exploits aus. Wie Malvertising funktioniert, warum klassischer Virenschutz daran scheitert und wie Browser-Isolation den Schaden auffängt.

BROWSER.LOL
15.01.2026
20 Min. Lesezeit
Teilen

Mark las in der Mittagspause die New York Times. Er klickte auf keinen Link, lud keinen Anhang herunter, installierte nichts. Eine Woche später tauchten sein Firmenlaptop und vier weitere Rechner aus seinem Team auf einem Ransomware-Dashboard im Darknet auf. Die Spurensuche ergab einen einzigen gemeinsamen Nenner: ein Werbebanner auf der Startseite einer Nachrichten-Site, das zwischen elf und zwölf Uhr verseucht war.

Das ist Malvertising. Ein Angreifer schleust Schadcode in ein seriöses Ad-Network ein, und jeder, dessen Browser den Banner lädt, wird angegriffen, ohne irgendwo zu klicken. Die Seite, auf der du gerade bist, ist legitim. Das Ad-Network ist legitim. Die Ad-Unit liefert JavaScript aus, das deinen Browser abtastet, und wenn eine bekannte Lücke passt, läuft der Code, bevor du diesen Satz fertig gelesen hast.

Was Malvertising wirklich ist

Werbung im Web kommt nicht vom Seitenbetreiber selbst. Sie wird in Echtzeit über Programmatic-Auktionen versteigert, dutzende Zwischenhändler reichen sie weiter, und nach ein bis vier Redirects landet das fertige Creative in einem Iframe auf der Seite, die du gerade liest. Jeder Redirect ist eine Gelegenheit, etwas anderes auszuspielen als das, was der Seitenbetreiber freigegeben hat.

Genau diese Komplexität nutzt Malvertising aus. Ein Angreifer kauft Ad-Space wie ein ganz normaler Kunde. Er liefert zuerst saubere Creatives, besteht die Prüfung, und schaltet dann ein paar Tage später auf den bösartigen Payload um. Oder er übernimmt den Account eines legitimen Käufers und schiebt seinen Code in laufende Kampagnen.

Das Ergebnis ist dasselbe. Eine seriöse Website zeigt dir einen Banner, der dich angreifen kann. Die Seite hat keinen Fehler gemacht. Du auch nicht. Der Angriff läuft in einem Frame ab, über den weder du noch die Seite Kontrolle haben.

Wie eine bösartige Anzeige deinen Browser übernimmt

Ein Browser lädt eine Seite, darin ein Iframe mit einer kleinen Kette aus Redirect-Pfeilen, die zu einem Exploit-Kit-Symbol führen

Der Angriff läuft in vier Phasen ab, und alle vier sind durch, bevor der Banner überhaupt zu sehen ist.

Probe. Das Skript im Anzeigen-Iframe liest User-Agent, Browserversion, Plugins, Zeitzone und ein paar Geräteeigenschaften aus. Innerhalb von 50 Millisekunden weiss es, ob sich der Angriff lohnt. Firmenlaptops mit alten Browsern sind erste Wahl, private Android-Geräte werden übersprungen, bekannte Umgebungen von Sicherheitsforschern herausgefiltert.

Match. Das Skript gleicht deine Signatur mit einem Katalog von Exploits ab. Exploit-Kits wie RIG, Fallout oder die neueren Nachfolger im Stil von Magnitude halten eine Bibliothek bekannter, häufig noch ungepatchter Schwachstellen schussbereit.

Deliver. Passt ein Exploit, lädt der Iframe einen Payload der zweiten Stufe nach. Das kann ein präparierter PDF-Reader-Aufruf sein, ein WebGL-Shader oder ein JIT-Bug in der JavaScript-Engine, kurz: alles, was die Sandbox des Browsers auf deinem konkreten Build aufbricht.

Execute. Jetzt läuft fremder Code mit deinen Rechten. Er installiert einen Infostealer, einen Cryptominer oder den initialen Zugang, den später eine Ransomware-Gruppe nutzt. Der Banner zeigt sich in diesem Moment ganz normal, damit dir nichts auffällt.

Vorfälle auf Seiten, die du kennst

Malvertising ist kein theoretisches Risiko. New York Times, BBC, MSN, AOL und die Yahoo-Startseite sind alle schon über Ad-Networks zu Malware-Verteilern geworden, in der Regel ohne es zu wissen, bis ein Sicherheitsforscher die Kampagne öffentlich gemacht hat.

Forbes hat einige Jahre lang Leser mit Ad-Blockern ausgesperrt und sie gebeten, die Blocker abzuschalten. Nachdem viele Leser das brav getan hatten, ist das Magazin innerhalb weniger Wochen zweimal über die eigenen Anzeigenflächen zum Malware-Verteiler geworden. Das Problem ist nicht der Seitenbetreiber. Das Problem ist die Lieferkette hinter der Werbung.

1 von 100

Ad-Impressions kann bösartigen Code ausliefern

72 h

durchschnittliche Lebensdauer einer Kampagne bis zur Entdeckung

+42 %

Anstieg der gemeldeten Malvertising-Vorfälle 2024-2025

Warum Antivirus und Ad-Blocker nicht reichen

Ein Browser mit einem Schild-Symbol davor, das Schild hat einen diagonalen Strich als Hinweis auf unvollständigen Schutz

Klassischer Virenschutz gleicht Dateien mit Signaturen bekannter Malware ab. Malvertising liefert aber Code, der nie auf einer Festplatte gelegen hat. Der Payload läuft direkt im Speicher, oft aus einem WebAssembly-Blob, und räumt sich am Ende selbst weg. Für einen AV-Scanner gibt es im klassischen Sinn schlicht nichts zu sehen. Mehr dazu in Why Antivirus Fails.

Ad-Blocker helfen, sind aber kein Allheilmittel. Sie blockieren bekannte Ad-Server. Angreifer, die Kampagnen über legitime Networks einkaufen, stehen per Definition auf keiner Blockliste. Dazu kommt, dass viele Seiten Anzeigen mittlerweile aus der eigenen Infrastruktur ausliefern, an die Blocker nicht herankommen, ohne die Seite kaputtzumachen.

Browser werden jeden Monat gepatcht, zwischen Disclosure und breitem Rollout liegen aber oft mehrere Wochen. In genau dieser Lücke werden Exploit-Kits aktualisiert. Wenn dein Browser gestern gepatcht wurde, die Angreifer den Exploit aber schon seit vier Wochen kennen, dann waren sie vier Wochen vorne.

Browsen, ohne zur Zielscheibe zu werden

Ein Browser-Fenster innerhalb einer gestrichelten Blase, ein zweiter gestrichelter Pfeil zeigt von aussen auf die Blase und stoppt an deren Rand

Die einzig verlässliche Verteidigung gegen Malvertising ist, den Browser von dem Gerät zu trennen, auf dem deine Daten liegen. Läuft der Browser in einer isolierten Umgebung, feuert der Exploit zwar trotzdem, trifft aber eine Wegwerf-VM, die mit deiner Session wieder verschwindet. Der Payload landet nicht auf deinem Rechner, sondern in einem Container, den die Plattform frisch aufsetzt, bevor der nächste Nutzer ihn bekommt.

Für sensibles Surfen lohnt es sich, diese Trennung zur Standardeinstellung zu machen. Recherche auf unbekannten Seiten, Nachrichten lesen, während gerade eine Kampagne läuft, ein Link aus einem Newsletter, das sind alles Momente, in denen ein isolierter Browser den Schaden im Vorfeld eindämmt. Dein Alltagsbrowser bleibt für die Seiten reserviert, auf denen du ohnehin schon eingeloggt bist.

Desktop-Power, auf jedem Gerät?

Probier Browser.lol kostenlos aus und sieh selbst, wie produktiv du mobil arbeiten kannst.

Desktop-Browser starten

Kein Download nötig • Läuft auf jedem Gerät

Über 250'000 Profis sind schon dabei
Volle Desktop-Kompatibilität
Sofort einsatzbereit

Neueste Beiträge

Alle Beiträge
Canvas, WebGL und Audio: Die drei Fingerprints, die jeden Neustart überleben
Sicherheit & Privatsphäre

Canvas, WebGL und Audio: Die drei Fingerprints, die jeden Neustart überleben

Gegen diese drei hilft kein Cookie-Löschen. So entstehen Canvas-Hashes, WebGL-Renderer-Strings und AudioContext-Signaturen, und so leakt selbst Tor noch einen davon.

17.05.2026Weiterlesen
Tabnabbing und Clickjacking: Die UI-Angriffe, die du nie bemerkst
Sicherheit & Privatsphäre

Tabnabbing und Clickjacking: Die UI-Angriffe, die du nie bemerkst

Manche Angriffe im Browser kommen ganz ohne Malware aus. Sie tauschen den Inhalt eines unbenutzten Tabs aus oder schieben einen echten Button unter einen gefälschten, und du gibst deine Zugangsdaten selbst preis. So funktionieren diese UI-Tricks.

19.03.2026Weiterlesen
Web3-Wallet-Drainer: Wie eine einzige Signatur dein Krypto-Vermögen abräumt
Sicherheit & Privatsphäre

Web3-Wallet-Drainer: Wie eine einzige Signatur dein Krypto-Vermögen abräumt

Wallet-Drainer brauchen deine Seed Phrase nicht. Sie bringen dich dazu, eine Transaktion zu unterschreiben, die mit einem Klick alles überträgt. So funktioniert die Masche, und so signierst du sicher.

05.03.2026Weiterlesen