Cybercriminelen zijn er de afgelopen weken in geslaagd om via veelgebruikte advertentienetwerken zoals DoubleClick en AppNexus een groot aantal besmette advertenties op populaire websites zoals eBay, Drudge Report en Answers.com te krijgen, zonder dat die in eerste instantie werden opgemerkt.

Dat claimt anti-malwarebedrijf Malwarebytes. De aanvallers deden zich voor als legitieme adverteerders en boden hun advertenties via verschillende real-time veilingen aan. Verschillende advertentienetwerken laten adverteerders via veilingen op beschikbare advertentieruimte bieden. Om overtuigend over te komen gebruikten de criminelen bedrijven die bij de Amerikaanse KvK waren ingeschreven en waarvan de websites soms al jaren geleden waren geregistreerd.

Volgens analist Jerome Segura was dit genoeg om de meeste advertentienetwerken te foppen. De advertenties zelf waren ook niet van malware voorzien, maar via een afgekorte URL werden bezoekers naar een pagina doorgestuurd die de Angler-exploitkit bevatte. Deze exploitkit maakt gebruik van beveiligingslekken in onder andere Flash Player. In het geval de aanval succesvol was werd de Bedep Trojan op computers geïnstalleerd.

Deze Trojan kan aanvullende malware op de computers installeren, zoals malware voor advertentiefraude en ransomware. De advertenties verschenen op de Britse website van eBay, die maandelijks 139 miljoen bezoekers krijgt, alsmede Drudgereport.com, dat maandelijks 61 miljoen bezoekers ontvangt. Alle getroffen websites krijgen maandelijks zo'n 500 miljoen bezoekers. In totaal zouden de besmette advertenties bijna drie weken ongestoord hebben gedraaid. Internetgebruikers van wie de software up-to-date is liepen geen risico bij deze aanval.