En ny malware kampanj inleddes i slutet av 2014, som sprids via AOL Ad Network. Det skadliga programmet levereras till besökare i olika webbplatser, där två av dem ägs av Huffington Post. De olika HTTPS omdirigeringar gör analysen ännu svårare. Den skadlig aktivitet sågs för första gången på den sista dagen i december på den kanadensiska upplagan av Huffington Post. På den tredje dagen av det nya året här typen av aktivitet också märkt på webbplatsen huffingtonpost.com.
Tillgivenhet på många webbplatser
Säkerhets forskarna Cyphort hade spårat orsaken till denna skadliga verksamhet tillbaka till webbplatser från AOL annonsnätverk. De hittade malware på målsidan, som tjänade ett webbaserat attack verktyg som inkluderade en VB script och Flash utnyttja. Resultatet från skadliga attacken var nedladdningen av Kovter Trojan.
Förutom de två webbplatserna för Huffington Post, de andra webbplatser som drabbats av om skadliga kampanjen Houston Press, LA Weekly, Weatherbug och tvål Central. Alla tjänade rougue annons för besökarna i sina webbplatser.
AOL malware kriminella lita på omdirigeringar som gjorts av HTTP och HTTPS, För att maskera servrar som deltar i attacken och därmed analysen får ännu svårare att göras. Enligt malware forskare från Cyphort, de cyberbrottslingar som är ansvariga för attacken har tillgång till många polska domäner, göras antingen genom att kompromissa befintliga nätet platser eller genom att registrera dessa domäner.
De skadliga specialister uppgav vidare att de båda annonsnätverk som ägs av AOL – adtech.de och advertising.com användes för fördelningen av skadliga ad.
IE 6 TILL 10 sårbara för angrepp
AOL är medveten om malware attack och dess team av säkerhetsexperter redan vidtar åtgärder. För närvarande, attacken har stoppats. Enligt malware experter från Cyphort, Neutrino är namnet på den utnyttja kit som används av cyberbrottslingar, om vissa likheter också fläckig med Sweet Orange.
Malware forskare säger att infektionen har börjat med JavaScript som dekrypterar en fil i HTML och VB script. HTML använder en äldre version av Internet Explorer (6 till 10) med sårbarhet känd som CVE-2013-2551. Sårbar laddas sedan som iframe, medan på samma gång skriptet VB hämtningar som Kovter trojanska genom felet CVE-2014-6332, som sedan påverkar unpatched versioner av Windows med hjälp av Server 2003.
gammal metod, nya trick
De skadliga experter uppger att införandet av dåliga annonser är den normala nätverksströmmen är en gammal metod, ändå cyberbrottslingar nu tillämpa nya knep för att lura analysalgoritmerna. Bland dem är den försenade spridningen av skadlig kampanj eller det faktum att skadlig kod bara skicka vissa besökare som uppfyller kriterierna - användare av en viss webbläsare eller ligger på en viss plats.