Рекламные серверы Google разослали вредоносное ПО

Исследователи в области безопасности из Malwarebytes отметили странное поведение некоторых сайтов, таких как Last.fm, The Times of Israel и The Jerusalem Post.

Так, реклама на этих ресурсах стала необычно агрессивной, вызывающей предупреждение об опасности в антивирусах и выставляющей предупреждение в системах Malwarebytes. После некоторого разбирательства исследователь Джером Сегура понял, что проблема кроется в рекламной сети Google DoubleClick и популярном рекламном агентстве Zedo. Совместно они обслуживали вредоносную рекламу, разработанную распространять недавно выявленный вирус Zemot. Представители Google подтвердили брешь, сообщив, что «наша команда предупреждена об этом и предприняла шаги для дальнейшего предотвращения».
Зловред, распространяющийся через рекламную сеть, не является чем-то новым, однако этот инцидент примечателен неимоверно широким полем атаки. «Он был активным, но не слишком видимым в течение нескольких недель, до тех пор, пока мы не стали замечать, как популярные сайты отмечаются нашими ловушками», — заявил Сегура.
Сам вирус Zemot заточен на компьютеры под управлением Windows XP, однако может работать и на более современных ОС. Он спроектирован обходить средства безопасности ОС, после чего заражает систему дополнительным вредоносным ПО, так что сложно определить, как именно повлияет на систему первичная атака вирусом Zemot.
Даже несмотря на то, что условия для успешной атаки весьма специфичны, широкое распространение рекламной сети предполагает, что те, кто подвергся атаке, получил несколько инфекций. «Даже если было всего 5% уязвимых машин, — отметил аналитик, — мы ожидаем очень большое количество инфецирований».