Dat ontdekte beveiligingsbedrijf Proofpoint. Het ging om advertenties die werden aangeboden via het reclamenetwerk Traffic Junky.
Pornhub en Traffic Junky hebben de besmette advertenties direct gestopt nadat Proofpoint zijn bevindingen met de bedrijven deelde. Pornhub krijgt volgens analysebedrijf Alexa 26 miljard bezoeken per jaar.
De malware werd verspreid door een hackersgroep die bekend staat onder de naam KovCoreG. De groep infecteerde de advertenties op Pornhub door ze door te laten verwijzen naar een site die deed alsof er een update voor hun browser was.
Advertentiefraude
Die meldingen waren op maat gemaakt voor Chrome, Firefox en Internet Explorer. Ook waren er meldingen die zeiden dat Adobe Flash een kritieke update nodig had. Dat gebeurde volgens Proofpoint vooral bij Engelstalige advertenties gericht op de VS, Canada, Austalië, en het Verenigd Koninkrijk.
Wanneer gebruikers de nep-update aanklikten, werd een bestand gedownload dat automatisch de malware Kovter installeerde. Die malware neemt de computer over, en gebruikt die vervolgens om zelf te klikken op nep-advertenties op obscure sites.
De kliks op die nep-advertenties leveren de eigenaren van die sites wel echt geld op, het doel van de verspreiding van de malware. Hoewel de besmette advertenties niet meer via Pornhub aangeboden worden, zouden ze nog wel op andere sites voor komen.
Volgens Proofpoint maakt de combinatie van een drukbezochte site en overtuigend ogende update-waarschuwingen dat de potentiële blootstelling van de malware hoog is, en miljoenen internetgebruikers bereikt.