Internetcriminelen hebben malware verspreid via de Ask.com Toolbar, een browseruitbreiding die onder andere via Oracle's Java werd geïnstalleerd. De Ask Toolbar is zelf omstreden software en wordt door sommige experts als adware of potentieel ongewenste software bestempeld.

De toolbar laat gebruikers zoeken via de zoekmachine van Ask.com. Naast Java werd en wordt de browseruitbreiding ook via andere software aangeboden. Vorig jaar bleek uit onderzoek dat de Ask Toolbar tot de meest verwijderde toolbars op internet behoort. Toch staat de browseruitbreiding op miljoenen computers geïnstalleerd. Volgens IAC, het moederbedrijf van Ask, heeft de zoekmachine meer dan 200 miljoen gebruikers per maand. Internetcriminelen zijn er onlangs in geslaagd om het updatemechanisme van de Ask Toolbar te kapen en te gebruiken voor de verspreiding van malware, zo meldt beveiligingsbedrijf Red Canary.

In plaats van een update werd er zo een Trojan-downloader op de computer geïnstalleerd, die weer aanvullende malware installeerde. Het ging onder andere om malware die gegevens voor internetbankieren steelt. De aanvallers experimenteerden met verschillende soorten malware, waardoor onderzoekers denken dat het waarschijnlijk om een testrun ging om te kijken welke malware het meest effectief was, maar het zou ook om een configuratieprobleem kunnen gaan, zo merken ze op.

Wat verder opvalt is dat de Ask Toolbar alleen gesigneerde software-updates accepteert. In dit geval wisten de aanvallers hun malware door Ask.com gesigneerd te krijgen zodat ze die via de updatefunctie konden verspreiden. Na te zijn ingelicht heeft Ask de aanval gestopt. Ask heeft echter niet laten weten hoe de aanvallers konden toeslaan en wat er wordt gedaan om herhaling te voorkomen.