Une nouvelle campagne de logiciels malveillants a été lancé à la fin de 2014, qui se propage à travers le réseau publicitaire d'AOL. Le malware est livré aux visiteurs de sites différents, où deux d'entre eux sont détenus par Huffington Post. Les différentes redirections HTTPS font l'analyse encore plus difficile. L'activité malveillante a été repéré pour la première fois sur le dernier jour de Décembre à l'édition canadienne du Huffington Post. Le troisième jour de la nouvelle année ce type d'activité a également été remarqué sur le site huffingtonpost.com.
Affection sur de nombreux sites Web
Les chercheurs en sécurité Cyphort avaient tracé la cause de cette activité malveillante vers les sites du réseau AOL annonce. Ils ont trouvé le malware à la page d'atterrissage, qui a servi d'un outil d'attaque basée sur le Web qui comprenait un script VB et d'exploiter Flash. Le résultat de l'attaque de malware est le téléchargement de la Kovter Troie.
Outre les deux sites de Huffington Post, les autres sites qui ont souffert de la campagne malveillante sont Houston Press, LA Weekly, Bug météo et Savon centrale. Ils ont tous servi la rougue publicité pour les visiteurs de leurs sites Web.
Les logiciels malveillants criminels AOL se appuient sur les redirections faites par HTTP et HTTPS, afin de masquer les serveurs qui participent à l'attaque et donc l'analyse obtenir encore plus difficile à apporter. Selon les chercheurs de malwares de Cyphort, les cybercriminels responsables de l'attaque ont accès à de nombreux domaines polonais, fait soit par compromettre emplacements en ligne existants ou en se inscrivant ces domaines.
Les spécialistes de logiciels malveillants a déclaré en outre que les deux réseaux de publicité détenues par AOL – adtech.de et advertising.com ont été utilisés pour la distribution de l'annonce malveillants.
IE 6 À 10 vulnérable à l'attaque
AOL est conscient de l'attaque de malware et son équipe d'experts en sécurité a déjà pris des mesures. Actuellement, l'attaque a été arrêté. Selon les experts de logiciels malveillants Cyphort, Neutrino est le nom du kit exploiter utilisée par les cybercriminels, si certaines similitudes ont également été repérés avec Orange Douce.
Les chercheurs de malwares disent que l'infection a commencé avec JavaScript qui décrypte un fichier HTML et un script VB. Le HTML utilise une ancienne version d'Internet Explorer (6 à 10) à la vulnérabilité CVE-connu sous le nom 2013-2551. La vulnérabilité est ensuite chargé comme iframe, tandis que dans le même temps les scripts VB téléchargements que Kovter de Troie à travers la faille CVE-2014-6332, qui a ensuite affecte les versions non patchées de Windows à l'aide du serveur 2003.
Ancienne méthode, de nouveaux trucs
Les experts affirment que les logiciels malveillants l'introduction de mauvaises annonces est le flux normal du réseau est une vieille méthode, mais les cybercriminels appliquent maintenant de nouvelles astuces pour tromper les algorithmes d'analyse. Parmi eux est le retard dans la propagation de la campagne malveillante ou le fait que le malware est envoyer uniquement à certains visiteurs qui répondent aux critères - les utilisateurs d'un certain navigateur Web ou situé dans un emplacement spécifique.