警告：数以百万计的P0rnHub用户受到恶意攻击

该恶意软件活动已持续一年多，目前仍在进行中，由一个名为科夫科雷格，以分销而闻名获取恶意软件这在2015年的恶意广告活动中被使用，最近一次是在2017年早些时候。

科瓦雷格黑客集团最初利用了P0rnHub，世界上访问量最大的成人网站之一，分发适用于所有三大Windows web浏览器（包括Chrome、Firefox和Microsoft Edge/Internet Explorer）的虚假浏览器更新。

根据Proofpoint研究人员的说法，这场运动中的感染首先通过名为Traffic Junky的合法广告网络出现在P0rnHub网页上，该网络诱骗用户在其系统上安装Kovtar恶意软件。
除其他恶意软件外，Kofter恶意软件以其独特的持久性机制而闻名，允许恶意软件在每次重新启动受感染主机后自行加载。

这家流量垃圾广告网络将用户重定向到一个恶意网站，Chrome和Firefox用户会看到一个虚假的浏览器更新窗口，而Internet Explorer和Edge用户会得到一个虚假的Flash更新。
“感染链始于avertizingms[.]上托管的恶意重定向Proofpoint写道，“它在主要的内容交付网络KeyCDN背后插入了一个呼叫”。

攻击者使用了大量的过滤器和“指纹”当前浏览器窗口的时区、屏幕尺寸、语言（用户/浏览器）历史长度，以及通过妈妈、 “试图以用户为目标，逃避分析。

研究人员称，Chrome用户感染了一种JavaScript，这种JavaScript会返回到攻击者控制的服务器上，如果他们的IP没有被感染，安全分析人员将无法通过感染链工作登记入住."
"这使得JavaScript不太可能单独运行并在沙箱环境中提供有效负载，“证明点写道。”这很可能就是为什么之前没有记录链的这个组成部分"。

在这种情况下，攻击者将其活动限制为点击欺诈以产生非法收入，但Proofpoint研究人员认为，该恶意软件很容易被修改以传播勒索软件、窃取信息的特洛伊木马或任何其他恶意软件。

根据研究人员的说法，无论是交通枢纽还是交通垃圾在接到通知后，迅速采取行动补救这一威胁"。

尽管在网站运营商和广告网络得到通知后，这一特定感染链已成功关闭，但恶意软件活动仍在其他地方进行。