De aanvallen zijn op 5 december begonnen en hebben enkele dagen aangehouden. De besmetting is ontdekt door, meldt beveiligingsbedrijf Armorize. Slachtoffers die op de advertenties klikten, werden doorgeleid naar webpagina's die via bekende browserlekken backdoors installeerden. Zo kregen de criminelen controle over de pc's van die slachtoffers. Andere webpagina's installeerden software die deed lijken alsof de computer was besmet met allerlei virussen.

DoubleClick

Google heeft dit weekend de malicieuze banners in zijn advertentienetwerk DoubleClick bevestigd tegenover de IDG-nieuwsdienst. "De DoubleClick Ad Exchange, die automatische malwarefilters heeft, heeft diverse advertenties met malware ontdekt en ze vervolgens verwijdert", aldus een woordvoerder van Google. "Ons securityteam heeft contact opgenomen met Armorize voor hulp bij het onderzoek."

Armorize-cto Wayne Huang legt uit hoe Google om de tuin is geleid. De cybercriminelen hebben advertenties geserveerd via een domein dat sterk lijkt op dat van het legale advertentiebedrijf AdShuffle.

Hotmail

Armorize heeft vergelijkbare advertenties ontdekt bij Microsofts e-maildienst Hotmail. Microsoft doet momenteel nog onderzoek naar de zaak. Het geeft de IGD-nieuwsdienst nog geen commentaar.

De besmette advertenties misbruikten bugs in Adobe Reader, Java en andere pc-software. Het gaat om lekken die al eerder bekend waren, en waar ook al patches voor zijn uitgebracht door de respectievelijke makers van die software. Mensen die de nieuwste software-updates hebben geïnstalleerd, lopen dus geen gevaar, verklaart Armorize.

Popupvenster

Criminelen proberen vaker malicieuze advertenties op grote advertentienetwerken te krijgen. Vorig jaar was op de site van The New York Times nog een nepadvertentie voor de Vonage VoIP-dienst te vinden.

De malafide advertenties van de nu ontdekte aanvalsgolf installeerden behalve backdoors ook HDD Plus, een neptool voor optimalisatie van het systeem. Op het moment dat slachtoffers een zogenaamd popupscherm van een antivirusprogramma zagen verschijnen op de bezochte webpagina's waren ze volgens Armorize-cto Huang al besmet.