Хотя вредоносные кампании обычно фиксируются специалистами в сфере информационной безопасности через несколько дней после начала их активности, неизвестные злоумышленники смогли на протяжении трех недель скрывать распространение вредоносных программ через некоторые крупные рекламные сайты. Исследователи информационной безопасности из Malwarebytes рассказали, что они заметили вредоносную активность, но долгое время не представлялось возможным определить то, каким образом проводились атаки.
По словам Жерома Сегуры, хакеры постарались, чтобы их деятельность выглядела законной, использующей конкурентные торги в режиме реального времени. Злоумышленниками использовались доменные имена, зарегистрированные еще год назад. Некоторые доменные имена даже были упомянуты на Интернет-сайте Better Business Bureau, который специализируется на рейтингах доверия к компаниям. Вредоносные рекламные объявления, которые распространяются мошенниками, вероятно, создавались профессиональными дизайнерами.
Как утверждает Сегура, вредоносный код не был внедрен в рекламные объявления, вместо этого пользователь перенаправлялся на другой Интернет-сайт, с которого жертвой загружалась вредоносная программа – в этом случае набор эксплоитов Angler.
По словам эксперта, хакеры пользовались своим собственным сервером, с которого через зашифрованные HTTPS-каналы распространялось вредоносное программное обеспечение. Сегура уточнил, что из-за использования таких каналов специалисты не могли распознавать вредоносные программы, что позволяло мошеннической кампании оставаться необнаруженной на протяжении трех недель.
По информации Malwarebytes, чтобы перенаправлять пользователей на вредоносный ресурс, хакеры пользовались сервисом Google URL Shortener. Злоумышленники сначала использовали Google, а позже перешли на URL Shortener, который работает на их собственном сервере. Компания Google была проинформирована экспертами относительно данной ситуации
Чтобы распространять вредоносную программу, хакеры пользовались и мелкими, и крупными рекламными сетями, включая AppNexus, DoubleClick, ExoClick, сайты answers.com, drudgereport.com и ebay.co.uk. Некоторые из этих сайтов ежемесячно посещают десятки миллионов человек.