Reklamy stały się nieodłączną częścią świata Internetu - są emitowane prawie w każdym serwisie, w mniej lub bardziej inwazyjny sposób. Przybierają formę obrazów lub obiektów Flash, umieszczanych w strukturze strony lub na osobnej warstwie, przy czym zazwyczaj są emitowane z osobnych serwerów, czym zajmują się specjalizowane firmy. Podmioty organizujące reklamę komasują zlecenia w strumień emitowany na poszczególnych portalach zależnie od kosztów, branży, parametrów i wybranego pakietu usług.

Nie wszystkie obiekty są tworzone przez tę samą firmę, która następnie je emituje. Regułą przy kampaniach promocyjnych jest zakup emisji reklam od podmiotów trzecich oraz przyjmowanie obiektów przez firmy zajmujące się reklamą. Problem w tym, że rzadko kiedy obiekty takie jak animacje Flash lub aplety Java są sprawdzane pod kątem obecności złośliwego oprogramowania, do rzadkości należy audyt kodu przed jego emisją. Zatem do ataku wystarczy przygotowanie zestawu obiektów, które przeprowadzą infekcję komputerów ofiary i przedstawienie się nadawcom reklam jako jakaś legalnie działająca firma uruchamiająca kampanię marketingową. Podszywanie się pod taką firmę jest na tyle proste, że z powodzeniem można to przeprowadzić także w naszym kraju.

Pierwsze złośliwe reklamy

Przypadki wykorzystania sieci reklamowych do roznoszenia złośliwego oprogramowania (czyli zjawiska określonego jako malvertising) datują się na 2007 r. Wtedy po raz pierwszy odnotowano emisję specjalnie spreparowanych banerów reklamowych za pomocą sieci DoubleClick, przy czym zasięg emisji objął strony uznawane za wiarygodne i bezpieczne, takie jak New York Times, magazyn The Economist, serwis NHL czy www.canada.com. Złośliwy kod został umieszczony dzięki użyciu języka ActionScript w banerach Flash, wykorzystując lukę w bezpieczeństwie systemu DART firmy DoubleClick, umożliwiającego automatyzację zakupów i sprzedaży reklam oraz zarządzaniem emisją i zasobami treści reklamowej.

Za emisją stała mało znana firma AdTraff, ale prawdopodobnie działała ona na zlecenie cyberprzestępców. Na to wskazywała nie tylko droga dystrybucji, ale sposób przygotowania obiektu - baner Flash został tak napisany, by złośliwy kod nie ujawniał się od razu. Efekt jego działania był widoczny dopiero po publikacji na docelowej stronie w obecności właściwych domen w adresie obiektu, a wszystkie połączenia - szyfrowane za pomocą SSL.