Eine neue Malware-Kampagne wurde am Ende ins Leben gerufen 2014, die durch die AOL-Werbenetzwerk verteilt. Die Malware wird den Besuchern der verschiedenen Websites geliefert, wobei zwei von ihnen werden von Huffington Post Besitz. Die verschiedenen HTTPS Weiterleitungen machen die Analyse noch schwieriger. Die bösartige Aktivitäten wurde zum ersten Mal am letzten Tag des Monats Dezember an der kanadischen Ausgabe des Huffington Post gesichtet. Am dritten Tag des neuen Jahres diese Art von Aktivität wurde auch auf der Website huffingtonpost.com bemerkt.
Zuneigung auf zahlreichen Websites
Die Cyphort Sicherheitsexperten war die Ursache dieser bösartigen Aktivitäten wieder auf den Internetseiten von der AOL-Werbenetzwerk zurück. Sie fanden die Malware auf der Zielseite, die einen webbasierten Angriff Tool, das ein VB-Skript enthalten serviert und eine Flash-Exploit. Das Ergebnis aus der Malware-Angriff war der Download der Kovter Trojan.
Neben den beiden Internetseiten der Huffington Post, die anderen Websites, die von der Malvertising Kampagne gelitten sind Houston Press, LA Weekly, Wetter Bug und Seife Zentral. Sie alle dienten dem rougue Werbung für die Besucher ihrer Websites.
Die AOL-Malware Verbrecher verlassen sich auf die Weiterleitungen von HTTP und HTTPS gemacht, um die Server, die bei dem Angriff beteiligt und Maske somit die Analyse noch schwieriger gemacht werden. Nach den Malware-Forscher aus Cyphort, die Cyberkriminellen für den Angriff verantwortlich haben Zugang zu zahlreichen polnischen Domains, entweder durch Kompromisse bei bestehenden Online-Standorten oder durch Registrierung dieser Domains gemacht.
Die Malware-Spezialisten weiter fest, dass die beiden Werbenetzwerke von AOL im Besitz – adtech.de und advertising.com wurden für die Verbreitung des Schad Anzeige verwendet.
IE 6 TO 10 anfällig für den Angriff
AOL ist sich der Malware-Angriff und dessen Team aus Sicherheitsexperten bereits Maßnahmen. Zur Zeit, der Angriff gestoppt wurde. Nach den Malware-Experten aus Cyphort, Neutrino ist der Name des Exploit-Kit von den Cyberkriminellen verwendet, aber gewisse Ähnlichkeiten waren auch mit Sweet Orange beschmutzte.
Die Malware-Forscher sagen, dass die Infektion mit JavaScript, die eine Datei in HTML und ein VB-Skript entschlüsselt begonnen. Die HTML eine ältere Version von Internet Explorer (6 bis 10) mit Sicherheitsanfälligkeit als CVE-2013-2551 bekannt. Die Sicherheitsanfälligkeit wird dann als iframe geladen, während zur gleichen Zeit das Skript VB-Download als Kovter Trojan durch die Schwachstelle CVE-2014-6332, der dann wirkt sich auf die ungepatchte Versionen von Windows mit Server 2003.
Alte Verfahren, neue Tricks
Die Malware-Experten fest, dass die Einführung des schlechten Anzeigen ist der normale Netzstrom wird eine alte Methode, noch die Cyberkriminellen sind nun die Anwendung neue Tricks, um die Analysealgorithmen zu täuschen. Unter ihnen ist der Verzögerung bei der Ausbreitung der bösartigen Kampagne oder die Tatsache, dass die Malware nur senden, bestimmte Besucher, die die Kriterien erfüllen - Benutzer einer bestimmten Web-Browser oder in einer bestimmten Lage.