En ny malware kampanjen ble lansert i slutten av 2014, som spres gjennom AOL Ad Network. Den malware er levert til de besøkende på ulike nettsteder, hvor to av dem er eid av Huffington Post. De ulike HTTPS omdirigeringer gjør analysen enda vanskeligere. Aktiviteten ble oppdaget for første gang på den siste dagen i desember på den kanadiske utgaven av Huffington Post. På den tredje dagen i det nye året denne type aktivitet ble også lagt merke til på nettstedet huffingtonpost.com.
Hengivenhet på mange nettsteder
De Cyphort sikkerhetsforskere hadde sporet årsaken til dette ondsinnet aktivitet tilbake til nettsteder fra AOL annonsenettverk. De fant malware på destinasjonssiden, som tjente en webbasert angrepsverktøy som inkluderte en VB script og Flash utnytte. Resultatet fra malware angrep var nedlastingen av Kovter Trojan.
Foruten de to nettsidene til Huffington Post, de andre nettsteder som led av skadelig reklame kampanjen er Houston Press, LA Weekly, Været Bug og Soap Central. De alle servert den rougue reklame til de besøkende på deres nettsider.
AOL malware kriminelle stole på omadresseringer gjort av HTTP og HTTPS, for å maskere servere som deltar i angrep og dermed analysen blir enda vanskeligere for å bli gjort. Ifølge malware forskere fra Cyphort, de nettkriminelle som er ansvarlige for angrepet har tilgang til en rekke polske domener, gjøres enten ved å gå på akkord med eksisterende nett steder eller ved å registrere disse domenene.
Malware spesialister videre uttalt at de to reklamenettverk eies av AOL – adtech.de og advertising.com ble brukt for distribusjon av skadelig annonse.
IE 6 TIL 10 sårbare for angrep
AOL er klar over malware angrep og sitt team av sikkerhetseksperter allerede tar tiltak. Foreløpig, angrepet er stoppet. Ifølge malware eksperter fra Cyphort, Nøytrino er navnet på den utnytte kit brukes av nettkriminelle, om visse likheter ble også sett med Sweet Orange.
Malware forskere sier at infeksjonen har startet med Javascript som dekrypterer en fil i HTML og en VB script. HTML bruker en eldre versjon av Internet Explorer (6 til 10) med sårbarhet kjent som CVE-2013-2551. Sårbarheten blir deretter lastet som iframe, mens på samme tid skript VB nedlastinger som Kovter Trojan gjennom feilen CVE-2014-6332, som deretter påvirker ikke oppdaterte versjoner av Windows ved hjelp av Server 2003.
Gammel metode, nye triks
Malware eksperter fastslår at innføringen av dårlige annonser er normal nettverksstrømmen blir en gammel metode, men de nettkriminelle nå søker nye triks for å lure analysealgoritmer. Blant dem er forsinkelsen i spredningen av ondsinnet kampanje eller det faktum at malware er bare sende til bestemte besøkende som oppfyller kriteriene - brukere av en bestemt nettleser eller ligger på et bestemt sted.