Een grote campagne met malafide advertenties die al een jaar actief is raakt ook gebruikers die een adblocker in hun browser hebben geïnstalleerd. De advertenties maken voornamelijk gebruik van social engineering om zogenaamde updates voor Windows en Mac, tech support scams, kwaadaardige Chrome-extensies en enquêtes aan te bieden. In sommige gevallen wordt er ook gebruik gemaakt van exploitkits.
Deze exploitkits maken gebruik van oude kwetsbaarheden in Adobe Flash Player, waar al meer dan een jaar updates voor beschikbaar zijn, om malware te verspreiden. De campagne wordt door anti-malwarebedrijf Malwarebytes RoughTed genoemd, een verwijzing naar een gebruikte domeinnaam. De advertenties van de campagne werden op verschillende populaire websites getoond, waaronder adf.ly, openload.co en extratorrent.cc. Websites die in de Top 500 websites van Alexa staan. Daarnaast gaat het om websites waar de eigenaren code van het bedrijf Ad-Maven aan toevoegden om zo inkomsten te genereren.
Malwarebytes schat dat de domeinen waar de malafide advertenties bezoekers naar toe sturen meer dan 500 miljoen hits hebben ontvangen. De aanvallers achter RoughTed maken gebruik van fingerprintingtechnieken om gebruikers beter te profileren en omzeilen adblockers om hun advertenties toch getoond te krijgen. Iets waar gebruikers van Adblock Plus, uBlock origin en AdGuard ook over klaagden. Volgens het anti-malwarebedrijf laat ook deze campagne zien dat malafide advertenties bij sommige providers nog steeds vrij spel hebben.
Als reactie op malafide en besmette advertenties hebben veel gebruikers een adblocker geïnstalleerd. "Het gebruik van dynamisch gecreëerde scripts die redirects uitvoeren om adblockers te omzeilen is in veel opzichten dan ook slim bedacht", zegt onderzoeker Jerome Segura. Hij waarschuwt dat het een echt probleem wordt als door advertenties ondersteunde content malware verspreidt, ook onder gebruikers van een adblocker. "Dan kun je jezelf afvragen wie er verantwoordelijk is. De advertentienetwerken of de uitgevers en webmasters die bewust hun bezoekers aan kwaadaardige code voor hun eigen financieel gewin blootstellen."
Deze posting is gelocked. Reageren is niet meer mogelijk.