Атакованы миллионы человек, посетившие weather.com, drudgereport.com, wunderground.com и другие популярные сайты.
Угроза для посетителей исходила от рекламы на этих сайтах. Злоумышленники использовали уязвимости в Adobe Flash и другом браузерном софте, из-за чего на известных интернет-ресурсах появились опасные баннеры.
Вредоносный код был внедрен в рекламу, распространяемую AdSpirit.de — сетью, которая поставляет рекламные объявления для Drudge, Wunderground и других онлайн-площадок. Действия злоумышленников привели к тому, что реклама эксплуатировала уязвимости, характерные для браузеров и плагинов браузеров, в результате чего на компьютеры пользователей устанавливались зловреды.
Было установлено, что вредоносная кампания развернулась в еще одной рекламной сети, связанной с AOL. В частности, под угрозой находились посетители eBay, утверждают специалисты по безопасности.
По словам исследователей, атаки, проводимые через AdSpirit.de, крайне опасны — их сложно проследить, поскольку большинство участвующих в атаке сайтов использовали TLS-протокол, чтобы скрыть адрес, а также для шифрования данных. Предположительно ответственность за вредоносную кампанию лежит на тех же злоумышленниках, которые организовали недавнюю атаку на пользователей Yahoo.
Напомним, что зловреды были детектированы в рекламной сети Yahoo (ads.yahoo.com), которая демонстрировала объявления на сайтах о финансах, играх, новостных порталах и на Yahoo.com. Вредоносный код оставался незамеченным на протяжении как минимум шести дней. Рекламные объявления выглядели как самые обычные, однако при переходе по ним пользователь рисковал заразить устройство. Тогда компания Yahoo заявила, что удалила из своих рекламных сетей вредоносный код, чтобы обеспечить безопасность в сети интернет.
Браузер на ПК пользователя осуществлял перенаправление на другой сайт, где и совершалась атака. На компьютеры посетителей Yahoo устанавливались программы-вымогатели, которые зашифровывали файлы на девайсе и требовали от людей заплатить выкуп за их расшифровку.
