קמפיין תוכנה זדוני חדש הושק בסוף 2014, אשר התפשטה ברשת המפרסמים AOL. התוכנה הזדונית מועברת המבקרים של אתרים שונים, שם שניים מהם נמצאים בבעלות Huffington Post. הפניות HTTPS השונות עושות את הניתוח אפילו יותר קשה. הפעילות הזדונית זוהתה לראשונה ביום האחרון של דצמבר המהדורה הקנדית של הפינגטון פוסט. ביום השלישי של השנה החדשה זה סוג של פעילות היה לב גם באתר huffingtonpost.com.
חיבה באתרים רבים
חוקרי אבטחת Cyphort אתרו את גורם פעילות זדונית זו חזרה אל אתרי האינטרנט מרשת מודעות AOL. הם מצאו את התוכנות הזדוניות על דף הנחיתה, אשר שימש ככלי התקפה מבוססת אינטרנט שכלל תסריט VB ו Flash לנצל. התוצאה מן ההתקפה הזדונית הייתה ההורדה של טרויאני Kovter.
מלבד שני האתרים של הפינגטון פוסט, האתרים האחרים כי סבלו מקמפיין malvertising הם יוסטון לחץ, ויקלי, באג מזג ובועות מרכזיים. כולם שירתו את הפרסומת rougue למבקרים באתרי האינטרנט שלהם.
הפושעים הזדוניים AOL להסתמך על ההפניות שנעשו על ידי HTTP ו- HTTPS, על מנת להסוות את השרתים שבהם להשתתף בפיגוע ובכך הניתוח לקבל אפילו קשה יותר להתקבל. לדברי החוקרים מהתוכנה הזדוניים Cyphort, יש פושעי הסייבר אחראי לפיגוע גישת תחומים פולנים רבים, להיעשות גם על ידי להתפשר במקומות מקוונים קיימים או על ידי רישום דומיינים אלה.
המומחים הזדוניים ציינו עוד כי שתי רשתות הפרסום שבבעלות AOL – adtech.de ו advertising.com שימשו להפצת המודעה זדוני.
IE 6 ל 10 חשוף למתקפה
AOL מודע ההתקפה הזדונית ועל צוות של מומחי אבטחה כבר נוקט צעדים. נכון לעכשיו, הפיגוע הופסק. לדברי מומחי התוכנה הזדוניים Cyphort, הניוטרינו הוא השם של הערכה לנצל המשמש את פושעי הסייבר, למרות דמיון מסוים גם נראו עם Sweet Orange.
החוקרים הזדוניים אומרים כי הזיהום החל עם JavaScript מפענח קובץ HTML ו תסריט VB. ה- HTML משתמש בגרסה ישנה יותר של אינטרנט אקספלורר (6 ל 10) עם פגיעות המכונות-2013-2551 CVE. הפגיעות נטענות אז כמו iframe, בעוד באותו הזמן הורדות VB סקריפט כמו Kovter טרויאני דרך פגם CVE-2014-6332, אשר לאחר מכן משפיע על גרסאות מתוקנות של שרת באמצעות Windows 2003.
שיטה עתיקה, תרגילים חדשים
המומחים הזדוניים להצהיר כי כניסתה של מודעות רעות הוא זרם רשת הרגילה היא שיטה ישנה, אך פושעי הסייבר עכשיו מיישמי טריקים חדשים כדי להטעות את האלגוריתמים לניתוח. אחד מהם הוא עיכוב ההתפשטות של הקמפיין הזדוני או העובדה שהתוכנה הזדונית הוא לשלוח רק למבקרים מסוימים העונים על הקריטריונים - משתמשי דפדפן אינטרנט מסוים או ממוקמים במיקום ספציפי.