En ny malware kampagne blev lanceret i slutningen af 2014, som spredes gennem AOL Ad Network. Den malware leveres til de besøgende på forskellige hjemmesider, hvor to af dem er ejet af Huffington Post. De forskellige HTTPS omdirigeringer gør analysen endnu vanskeligere. Den ondsindet aktivitet blev spottet for første gang på den sidste dag i december på den canadiske udgave af Huffington Post. På den tredje dag i det nye år denne form for aktivitet blev også bemærket på hjemmesiden huffingtonpost.com.
Affection på en lang række hjemmesider
De Cyphort sikkerhedseksperter havde spores årsagen til denne ondsindet aktivitet tilbage til de hjemmesider fra AOL annoncenetværk. De fandt den malware på destinationssiden, som tjente en webbaseret angreb værktøj, der omfattede en VB-script og Flash udnytte. Resultatet fra malware angreb var downloade Kovter Trojan.
Ud over de to websteder Huffington Post, de andre hjemmesider, der har lidt fra malvertising kampagnen er Houston Press, LA Weekly, Vejret Bug og Soap Central. De har alle tjent rougue annonce til de besøgende på deres hjemmesider.
AOL malware kriminelle stole på omadresseringer fra HTTP og HTTPS, for at maskere de servere, som deltager i angrebet, og analysen bliver endnu vanskeligere at foretage. Ifølge malware forskere fra Cyphort, de cyberkriminelle, der er ansvarlige for angrebet har adgang til en lang række polske domæner, gøres enten ved at gå på kompromis eksisterende online steder eller ved at registrere disse domæner.
Malware specialister endvidere, at de to annoncenetværk ejet af AOL – adtech.de og advertising.com blev anvendt til fordeling af ondsindet annonce.
IE 6 TIL 10 sårbare over for angreb
AOL er klar over den malware angreb og sit hold af sikkerhedseksperter allerede finder foranstaltninger. I øjeblikket, angrebet er blevet stoppet. Ifølge de malware eksperter fra Cyphort, Neutrino er navnet på den udnytte kit bruges af cyberkriminelle, selvom visse ligheder blev også spottet med søde orange.
Malware forskere siger, at infektionen er begyndt med JavaScript, som dekrypterer en fil i HTML og en VB-script. HTML bruger en ældre version af Internet Explorer (6 til 10) med sårbarhed kendt som CVE-2013-2551. Sårbarheden derefter indlæses som iframe, mens på samme tid scriptet VB downloads som Kovter Trojan gennem fejl CVE-2014-6332, som derefter påvirker unpatched versioner af Windows ved hjælp af Server 2003.
Gammel metode, nye tricks
Malware eksperter anfører, at indførelsen af dårlige annoncer er den normale netværk stream er en gammel metode, alligevel cyberkriminelle nu anvender nye tricks til at vildlede analysealgoritmer. Blandt dem er den forsinkede udbredelsen af ondsindet kampagne eller det faktum, at malware kun sende til visse besøgende, der opfylder kriterierne - brugere af en bestemt webbrowser eller beliggende i et bestemt sted.