Una nuova campagna di malware è stato lanciato alla fine del 2014, che viene diffuso attraverso la rete pubblicitaria di AOL. Il malware viene consegnato ai visitatori siti web, dove due di loro sono di proprietà di Huffington Post. I vari reindirizzamenti HTTPS stanno facendo le analisi ancora più difficile. L'attività dannosa è stato avvistato per la prima volta l'ultimo giorno del mese di dicembre l'edizione canadese di Huffington Post. Il terzo giorno del nuovo anno questo tipo di attività è stato anche notato sul sito huffingtonpost.com.
Affetto su numerosi siti web
I ricercatori di sicurezza Cyphort avevano tracciato la causa di questa attività dannose di nuovo ai siti web del network AOL. Hanno trovato il malware a pagina di destinazione, che serviva uno strumento di attacco basato sul Web che contiene uno script VB e Flash exploit. Il risultato dagli attacchi malware è stato il download della Kovter Trojan.
Oltre ai due siti di Huffington Post, gli altri siti che hanno subito dalla campagna malvertising sono Houston Press, LA Weekly, Meteo Bug e sapone Central. Tutti serviti il rougue pubblicità ai visitatori dei loro siti web.
I criminali di malware AOL affidano le redirezioni fatte da HTTP e HTTPS, per mascherare i server che partecipano al attacco e così l'analisi ottenere ancora più difficile da effettuare. Secondo i ricercatori di malware da Cyphort, i criminali informatici responsabili dell'attacco hanno accesso a numerosi domini polacchi, fatta sia da compromettere posizioni online esistenti o registrando questi domini.
Gli specialisti di malware inoltre dichiarato che le due reti pubblicitarie di proprietà di AOL – adtech.de e advertising.com sono stati utilizzati per la distribuzione della pubblicità dannoso.
IE 6 PER 10 vulnerabile all'attacco
AOL è consapevole dell'attacco malware e il suo team di esperti di sicurezza sta già prendendo misure. Attualmente, l'attacco è stato fermato. Secondo gli esperti di malware da Cyphort, Neutrino è il nome del kit exploit utilizzato dai criminali informatici, se certe somiglianze sono stati avvistati con Sweet Orange.
I ricercatori di malware dicono che l'infezione è iniziata con JavaScript che decodifica un file in HTML e uno script VB. L'HTML utilizza una vecchia versione di Internet Explorer (6 a 10) con vulnerabilità nota come CVE-2013-2551. La vulnerabilità viene poi caricato come iframe, mentre allo stesso tempo i script scarica VB come Kovter Trojan attraverso la falla CVE-2014-6332, che poi colpisce le versioni senza patch di Windows utilizzando Server 2003.
Vecchio metodo, nuovi trucchi
Gli esperti di malware affermano che l'introduzione di annunci cattivi è il normale flusso di rete è un vecchio metodo, ma i criminali informatici stanno applicando nuovi trucchi per ingannare gli algoritmi di analisi. Tra questi è il ritardo nella diffusione della campagna dannoso o il fatto che il malware è inviare solo alcuni visitatori che soddisfano i criteri - gli utenti di un determinato browser web o situata in una posizione specifica.