Aanvallers hebben massaal besmette advertenties verspreid via het advertentiesysteem van OpenXAdvertising.com. De advertenties waren voorzien van code die bezoekers naar verschillende domeinen beginnend met googlecodehosting doorstuurden. De malware die deze websites probeerden te installeren werd weer gedownload van gehackte Wordpress-websites.

Voor zover bekend liepen alleen internetgebruikers met onveilige Java-versies risico. Op de googlecodehosting-websites was een exploit actief die misbruik van twee beveiligingslekken in Java maakte. Deze lekken, CVE-2013-1493 en CVE-2013-2423, werden in maart en april door Oracle gepatcht.

Infectie
Java-gebruikers die deze updates niet hadden geïnstalleerd en de besmette advertenties te zien kregen, werden met de ZeroAccess Trojan geïnfecteerd. Er was verder geen enkele interactie vereist, het laden van de besmette advertenties in de browser was voldoende om besmet te raken. Inmiddels worden de googlecodehosting-domeinen en OpenXAdvertising.com door Google geblokkeerd.

OpenX is een advertentiesysteem waarmee websites en adverteerders advertenties kunnen tonen. De software is regelmatig het doelwit van aanvallen, waarbij aanvallers toegang tot het systeem weten te krijgen. Vaak gebeurt dit doordat de websites vergeten de OpenX-software te patchen.

De advertenties zijn zeker op 65 internationale websites getoond, zo meldt beveiligingsbedrijf ZScaler Research. Onlangs wisten aanvallers ook besmette advertenties op NU.nl te tonen.