As duas maiores redes de publicidade online, a subsidiária DoubleClick do Google e o MSN Ads da Microsoft, foram fontes de veiculação de malwares, através do download induzido (ou seja, feito de forma “automática”, sem o usuário clicar em nada) de exploits, na última semana. Um grupo de invasores enganaram as redes mostrando seus anúncios como se fossem da ADShuffle.com, uma empresa de tecnologia de anúncios online.
“Os usuários visitam sites que incorporam os banners da DoubleClick ou rad.msn.com, e o JavaScript malicioso é servido a partir do ADShufffle.com (repare os três “F”), iniciando um processo de download induzido, e se tiver êxito, o HDD Plus e outros malwares são instalados na máquina da vítima, sem a necessidade de enganar o usuário a fazer ou clicar em qualquer coisa. Simplesmente visitar a página infectava os visitantes”, disse a empresa de segurança Armorize.
Uma vez que as redes de anúncios são enganadas, o banner malicioso usava vários exploits para instalar malwares nos PCs das vítimas, através de downloads induzidos. Quando a vítima visitava um site que estava mostrando o anúncio malicioso, o navegador se conectava o servidor da propaganda e entrava em contato com conteúdo malicioso do ADShufffle, o endereço falso com as três letras “f”, ao invés de duas.
A propaganda maliciosa então usava o JavaScript para explorar as falhas de segurança e instalar os tais arquivos maliciosos no PC. Os ataques exploravam uma ampla gama de vulnerabilidades em navegadores e no Adobe Reader. É preocupante realmente o fato de que uma única letra seja suficiente para burlar anúncios da Microsoft e do Google. Felizmente, as redes de anúncios só serviram o conteúdo malicioso por um curto período de tempo.
