Bezoekers van verschillende populaire pornosites zijn het doelwit geworden van malafide Java-updates die malware bevatten. Dat meldt anti-malwarebedrijf Malwarebytes. De aanval begint met advertenties die onder andere op xHamster verschenen, een website die volgens SimilarWeb 943 miljoen bezoekers per maand ontvangt en in de Top 25 van meest bezochte websites op internet staat.

De advertenties sturen bezoekers vervolgens door naar een fake pornosite. Wanneer bezoekers van deze nepsite een video willen bekijken verschijnt er een pop-up waarin het lijkt alsof er een video wordt afgespeeld en verschijnt de melding dat de juiste Java-plug-in ontbreekt. Om de video te kunnen bekijken moet vervolgens de aangeboden 'Java-update' worden geïnstalleerd. In werkelijkheid gaat het om de Zloader-malware die allerlei gegevens van het systeem kan stelen, zoals bank- en e-mailwachtwoorden.

De groep achter de aanvallen maakte eerst nog gebruik van exploitkits om bezoekers ongemerkt met de malware te infecteren. De exploitkits werkten echter alleen tegen ongepatchte versies van Internet Explorer. Door gebrek aan recente exploits voor veelgebruikte browsers of browserplug-ins zijn de aanvallers overgestapt op social engineering, aldus Malwarebytes. Hierdoor kan de groep zich op veel meer gebruikers richten dan alleen de personen die met een ongepatchte IE-versie browsen.

Eerder dit jaar werden er ook al besmette advertenties op xHamster aangetroffen. Die maakten gebruik van exploits voor oude kwetsbaarheden in IE en Flash Player.