A nova campanha de malware foi lançado no final de 2014, que se espalha através da rede Ad AOL. O malware é entregue aos visitantes de sites diferentes, onde dois deles são de propriedade do Huffington Post. Os vários redirecionamentos HTTPS está fazendo a análise ainda mais difícil. A atividade maliciosa foi flagrado pela primeira vez no último dia de dezembro, na edição canadense do Huffington Post. No terceiro dia do novo ano, este tipo de atividade também foi notado no site huffingtonpost.com.
Afeto em inúmeros sites
Os pesquisadores de segurança Cyphort havia traçado a causa desta atividade maliciosa de volta para os sites da rede ad AOL. Eles encontraram o malware na página de destino, que serviu uma ferramenta de ataque baseado na web que incluía um script VB e um Flash explorar. O resultado do ataque de malware foi o download do Trojan Kovter.
Além dos dois sites de Huffington Post, os outros sites que sofreram com a campanha malvertising são Houston Press, LA Weekly, Bug do tempo e Soap Central. Todos eles serviram a rougue anúncio para os visitantes de seus sites.
Os criminosos de malware AOL contar com os redirecionamentos feitos por HTTP e HTTPS, a fim de mascarar os servidores que participam no ataque e, assim, a análise ficar ainda mais difícil de ser feita. De acordo com os pesquisadores de malware de Cyphort, os cibercriminosos responsáveis pelo ataque têm acesso a numerosos domínios poloneses, feito por comprometer locais on-line existentes ou por registrar estes domínios.
Os especialistas de malware afirmou ainda que as duas redes de publicidade de propriedade da AOL – adtech.de advertising.com e foram usadas para a distribuição do anúncio malicioso.
IE 6 TO 10 vulnerável ao ataque
AOL está ciente do ataque de malware e sua equipe de especialistas em segurança já está tomando medidas. Atualmente, o ataque foi parado. De acordo com os especialistas de malware de Cyphort, Neutrino é o nome de explorar o kit utilizado pelos cybercriminals, embora certas semelhanças também foram vistos com Laranja Doce.
Os pesquisadores de malware dizer que a infecção tenha começado com JavaScript que decifra um arquivo em HTML e um script VB. O HTML usa uma versão mais antiga do Internet Explorer (6 para 10) com a vulnerabilidade conhecida como CVE-2013-2551. A vulnerabilidade é então carregado como iframe, e, ao mesmo tempo que o script de downloads VB como Kovter Trojan através da falha CVE-2014-6332, que, então, afeta as versões sem correção do Windows usando o Server 2003.
Método velho, novos truques
Os especialistas de malware afirmar que a introdução de anúncios ruins é o fluxo normal da rede é um método antigo, no entanto, os cibercriminosos estão agora a aplicar novos truques para enganar os algoritmos de análise. Entre eles está o atraso na propagação da campanha maliciosa ou o fato de que o malware é só enviar para determinados visitantes que atendam a critérios - os usuários de um determinado navegador ou situado em um local específico.