В начале марта 2012 года несколько сотен тысяч пользователей крупнейших новостных веб-порталов стали жертвами трояна Lurk, основной целью которого является воровство информации систем онлайн-банкинга, которые использует пользователь. Как сообщили в «Лаборатории Касперского», одними из крупных источников распространения вредоносного кода оказались веб-ресурсы РИА Новости (www.ria.ru) и сайт известной онлайн-газеты Газета.ru (www.gazeta.ru). Проведенная атака стала возможной благодаря использованию на этих веб-сайтах слабозащищенной рекламной системы AdFox. Внедрение рекламного контента производилось при помощи iframe-блока. Именно в этот блок злоумышленникам со стороны партнеров AdFox удалось внедрить вредоносный код, инициирующий запуск Java-эксплойта с веб-сайта в доменной зоне EU. Анализ JAR-файла эксплойта показал, что он эксплуатирует уязвимость в Java (CVE-2011-3544), которой подвержены как Windows- платформы, так и MacOS. В настоящее время эксплойты этой уязвимости являются, пожалуй, самыми эффективными и входят в состав распространенных наборов эксплоитов. Однако, в этом случае, использованный эксплойт был уникальным и не встречался ранее ни в одном из известных наборах эксплойтов: злоумышленники использовали технику "бестелесного" запуска вредоносного кода, когда на компьютер жертвы не устанавливаются какие-либо файлы, а лишь в память процесса "javaw.exe" подгружаются вредоносные функции. Такими функциями оказалась имитация поисковых запросов Google с целью отправки в них информации о зараженной системе и посещаемых веб-ресурсах, основываясь на этой информации сервер злоумышленников, принимал решение об установке на зараженный компьютер троянской программы Lurk. До момента установки Lurk, вирус мог быть детектирован только средствами веб-фильтра, способного обнаружить столь необычный эксплоит. Далее троян Lurk выполнял сбор информации о системах онлайн-банкинга, который использовал пользователь зараженной системы и отправлял эти данные на сервер злоумышленников. Анализ протокола взаимодействия Lurk с серверами управления, было выяснено, что в течение несколько последних месяцев данные сервера обслужили до 300 000 зараженных компьютеров.
Подробности