vir: The Register
Veriga se je začela pri kakih 10.000 spletnih straneh, kjer je za vsebino v ozadju skrbel nepokrpan Wordpress, zaradi česar napadalci niso imeli večjih težav pri vdoru vanje s pomočjo oddaljenega izvrševanja kode. Tem stranem so nato "ukradli" spletni promet in ga kot svojega prodali ponudniku oglasnega prostora AdsTerra. Ta ga je nato ponudil v preprodajo štirim posrednikom, konkretno, ExoClicku, AdKernelu, EvoLeadsu in AdventureFeeds, ti pa so ga nato prodali najboljšemu ponudniku oglaševanja. Slednji je bil običajno, kot so razkrili pri Check Point Research, sodelavec nepridipravov oz. kar oni sami.
Problem, ko se je izkazal, je, da oglaševalska omrežja, kot je AdsTerra, očitno niso imela vzpostavljenih sistemov za preverjanje, ki bi vso to sklenjeno verigo razkrili. V resnici je tako preverjanje precej kompleksno, saj enoten oglas ne obstaja. Vsak uporabnik namreč vidi drugačnega, pogojeno s tem, kjer se nahaja, kakšno napravo uporablja in podobno, vse to pa precej oteži vnaprejšnje preverjanje.
Posledica vsega tega je bila, da so se na tisočerih spletnih straneh po vsem svetu, prikazovali okuženi oglasi. Običajno so vsebovali Javascript kodo, ki je poiskala ranljivosti v brskalniku ali njegovih razširitvah ter okužila uporabnike, ki so obiskali zlonamerno povezavo. Ti pa so nato, večinoma nevede, še poskrbeli, da so nepridipravi dobili sveža sredstva, s katerimi so lahko nadaljevali svoje početje.
