Le principe de cette attaque consiste à charger dans les bannières de publicité Google Ads une balise IFrame pointant vers une adresse compromise. Cette balise IFrame est chargée et s’affiche sur le site internet. Le visiteur du site Internet est alors exposé au risque que représente le code malveillant. Dans le cas de cette attaque, il s’agit de l’exploit kit Nuclear. Ce kit est disponible sur le marché cybercriminel pour environ 1500 Dollars.

Nuclear exploite depuis le 19 mars 2015 une faille de sécurité du programme Adobe Flash (CVE-2015-0336). Cette faille a été diffusée pour la première fois en décembre 2014 et le patch correspondant publié le 12 mars 2015. Les remontées d’information de la protection Anti-Exploit sur le parc installé des solutions G DATA montrent une utilisation croissante de cette faille dans la campagne Google Ads. Le pic de détection se situe au 7 avril 2015.

Derrière cet exploit se cache « Pony Loader » un code malveillant que les solutions de sécurité G DATA reconnaissent en tant que Gen :Variant.Graftor.182875.