Weer besmette advertenties verspreid via Google DoubleClick

[Captain Kirk]

Aanvallers zijn twee keer in korte tijd erin geslaagd om besmette advertenties via Google DoubleClick te verspreiden. De aanval die nu bekend is geworden werd uitgevoerd via een bedrijf genaamd Merchenta, dat een advertentieplatform aanbiedt en directe banden met Google DoubleClick heeft. Via dit platform zou het bedrijf alleen in de VS maandelijks 28 miljard advertentie-impressies leveren.

De aanvallers deden zich in dit geval voor als een adverteerder en infiltreerden het platform via een derde partij, zo meldt anti-virusbedrijf Malwarebytes. Daarbij wisten ze de besmette advertentie op het advertentieplatform van Merchenta te krijgen, waarna het werd doorgestuurd naar de kanalen van Google DoubleClick. De besmette advertentie zou binnen minuten een 95% bereik in de VS, Europa en Groot-Brittannië hebben gehad, waarbij een groot aantal mensen risico liep, aldus Malwarebytes.

De virusbestrijder merkt op dat DoubleClick niet direct verantwoordelijk is voor het laden van de besmette advertentie, maar dat het begint met de vertrouwensketen met de uitgever, die weinig controle heeft over de transacties die plaatsvinden. De advertentie in kwestie maakte gebruik van een bekende en al gepatchte kwetsbaarheid in Adobe Flash Player om computers met malware te infecteren. Op het moment van de aanval werd de exploit die van het lek misbruik maakte door geen enkele virusscanner herkend.

Het ging om dezelfde exploit die onlangs werd gebruikt bij een andere aanvalscampagne, waarbij besmette advertenties onder andere op de website van de Huffington Post verschenen. Het account van de aanvallers werd volgens Merchenta op 10 april opgeheven. Twee dagen eerder waarschuwde het Delftse beveiligingsbedrijf Fox-IT voor een andere aanval die rond dezelfde tijd via DoubleClick plaatsvond. Hierbij werd echter een andere exploitkit gebruikt voor het infecteren van ongepatchte internetgebruikers.

 

bron: security.nl