Een nieuwe malware-campagne werd gelanceerd op het einde van 2014, die wordt verspreid via de AOL Ad Network. De malware wordt geleverd aan de bezoekers van verschillende websites, waar twee van hen zijn eigendom van Huffington Post. De verschillende HTTPS omleidingen maken de analyse nog moeilijker. De kwaadaardige activiteit werd gespot voor de eerste keer op de laatste dag van december in het Canadese editie van Huffington Post. Op de derde dag van het nieuwe jaar werd ook dit soort activiteiten opgemerkt op de website huffingtonpost.com.
Genegenheid op tal van websites
De Cyphort security onderzoekers hadden de oorzaak van deze kwaadaardige activiteiten terug te voeren op de websites van de AOL-ad-netwerk. Ze vonden de malware op de landing page, die een web-based aanval tool die een VB-script opgenomen geserveerd en een Flash-exploit. Het resultaat van de malware-aanval was het downloaden van de Kovter Trojan.
Naast de twee websites van de Huffington Post, de andere websites die te lijden onder de malvertising campagne Houston Press, LA Weekly, Weer Bug en zeep Centraal. Ze allemaal geserveerd het rougue advertentie aan de bezoekers van hun websites.
De AOL malware criminelen vertrouwen op de omleidingen gemaakt door HTTP- en HTTPS, teneinde de servers die deelnemen aan de aanval maskeren daarmee de analyse krijgen nog moeilijker te maken. Volgens de malware onderzoekers van Cyphort, de cybercriminelen die verantwoordelijk is voor de aanval hebben toegang tot een groot aantal Poolse domeinen, gedaan, hetzij door compromitterende bestaande online plaatsen of door het registreren van deze domeinen.
De malware specialisten verklaarde verder dat de twee reclame-netwerken in handen van AOL – adtech.de en advertising.com werden gebruikt voor de verdeling van de kwaadaardige advertentie.
IE 6 OM 10 kwetsbaar voor de aanval
AOL is zich bewust van de malware-aanval en zijn team van beveiligingsexperts is al het nemen van maatregelen. Tegenwoordig, de aanval is gestopt. Volgens de malware experts van Cyphort, Neutrino is de naam van de exploit kit gebruikt door de cybercriminelen, hoewel bepaalde overeenkomsten werden ook gespot met Sweet Orange.
De malware onderzoekers zeggen dat de infectie is begonnen met JavaScript dat een bestand in HTML en een VB script decodeert. De HTML maakt gebruik van een oudere versie van Internet Explorer (6 aan 10) met kwetsbaarheid bekend als CVE-2013-2551. Het beveiligingslek wordt dan als iframe geladen, terwijl op hetzelfde moment het script VB downloads als Kovter Trojan via het lek CVE-2014-6332, die vervolgens van invloed op de ongepatchte versies van Windows met behulp van de Server 2003.
Oude methode, nieuwe trucs
De malware experts stellen dat de invoering van de slechte advertenties is de normale netwerk stream is een oude methode, maar de cybercriminelen zijn nu het toepassen van nieuwe trucs om de analyse algoritmen te misleiden. Onder hen is de vertraging bij de verspreiding van kwaadaardige campagne of het feit dat de malware alleen naar bepaalde bezoekers die voldoen aan de criteria - gebruikers van een bepaalde web browser of in een specifieke locatie.