Een groep cybercriminelen is vorig jaar 28 nep-advertentiebedrijven gestart om besmette advertenties te kunnen verspreiden die internetgebruikers met malware probeerden te infecteren. Om de schijn op te houden dat het om echte bedrijven ging werden zelfs profielen van niet-bestaande directeuren op LinkedIn aangemaakt. De bende, die Zirconium wordt genoemd, richtte zich zowel op het regelen van verkeer als de malafide landingpagina's.

De zogenaamde advertentiebedrijven gingen relaties aan met legitieme advertentieplatformen om verkeer te kunnen inkopen. Het ingekochte verkeer werd weer doorverkocht aan zogeheten affiliate platformen. Het ging om de platformen Voluum en AdSupply, die erom bekendstaan niet hard op te treden tegen besmette advertenties, zo meldt het bedrijf Confiant in een analyse.

Andere cybercriminelen konden via Zirconium verkeer naar hun malafide landingpagina's regelen, maar de bende lanceerde ook een eigen advertentienetwerk genaamd "MyAdsBro" dat werd gebruikt voor het verspreiden van de eigen besmette advertenties. De besmette advertenties stuurden internetgebruikers door naar malafide websites die zogenaamde Flash Player-updates aanboden, wat in werkelijkheid malware bleek te zijn.

Ook kwamen internetgebruikers via de advertenties op websites terecht die claimden dat de computer was besmet en het op de website vermelde telefoonnummer moest worden gebeld. In dit geval kregen mensen met oplichters te maken die zich als Microsoft-personeel voordeden. De advertenties waren op zowel Mac- als Windows-gebruikers gericht.

Volgens Confiant heeft de bende vorig jaar 1 miljard advertentie-impressies geleverd. Om niet op te vallen leidde slechts een klein deel van de ingekochte impressies naar malafide websites. Twintig van de nep-advertentiebedrijven zijn inmiddels niet meer actief. De overige acht zijn nog nooit actief geweest.