Вредоносные рекламные объявления перенаправляли пользователей на сайты, содержащие набор эксплоитов Styx.
Злоумышленники использовали рекламную сеть YouTube для распространения банковского трояна Caphaw. Об этом сообщают эксперты компании Bromium Labs. По их словам, рекламные объявления YouTube In-Stream перенаправляли пользователей на вредоносные web-сайты, которые содержали набор эксплоитов Styx.
Эти страницы эксплуатировали уязвимости, существующие на системах жертв, посредством осуществления атак типа drive-by-download, что позволяло заражать компьютеры вирусом Caphaw. После установки на систему вредоносная программа идентифицировала версию Java, на основе которой запускала подходящий эксплоит.
Стоит отметить, что пока экспертам компании не удалось установить способ, который использовали злоумышленники для обхода внутренней проверки рекламы Google. По словам представителей последней, специалисты поискового гиганта изучают инцидент, а затем примут соответствующие меры.
По данным Bromium Labs, для соединения с C&C-сервером банковский троян использует алгоритмы создания доменных имен (Domain Generation Algorithm, DGA). Контрольный сервер троянского вируса находится на территории Европы. Важно также, что уже несколько антивирусных компаний отметили Caphaw как «вредоносный».
Количество пользователей, ставших жертвами данной вредоносной кампании, пока неизвестно. Стоит также отметить, что уязвимость в Java , которую эксплуатируют злоумышленники, Oracle исправила еще в прошлом году. Поэтому SecurityLab настоятельно рекомендует вовремя обновлять продукцию Java, а также антивирусные решения и операционные системы.