Ένα subdomain των Los Angeles Times βρέθηκε να ανακατευθύνει τους χρήστες που προσπαθούν να επισκεφτούν την ιστοσελίδα σε κάποια άλλη που φιλοξενεί το περιβόητο BlackHole exploit kit.
Ο δημοσιογράφος Brian Krebs ήταν από τους πρώτους για εντοπίσετε την ανακατεύθυνση μέσω του subdomain. Ερευνητές από την εταιρεία ασφαλείας Avast! αποφάσισαν να το ελέγξουν και βρήκαν ότι το subdomain πραγματικά φιλοξενεί κακόβουλα iframes από τις 23 Δεκεμβρίου.
Οι ιστοσελίδες που χρησιμοποιούνται για την επίθεση και στέλνουν τα iframes φιλοξενούνται στις ΗΠΑ και την Ολλανδία. Το πιο πιθανό είναι αυτές οι ιστοσελίδες να έχουν πειραχτεί από hackers χωρίς να το γνωρίζουν οι ιδιοκτήτες τους, αφού φαίνονται νόμιμες.
Οι εμπειρογνώμονες ανέλυσαν το site για να βεβαιωθούν ότι τα αποτελέσματα που έβλεπαν δεν προερχόταν από άλλους παράγοντες, όπως hacker routers, proxies ή άλλα κακόβουλα προγράμματα οδήγησης δικτύου. Διαπίστωσαν όμως ότι δεν ίσχυε καμιά από αυτές τις περιπτώσεις.
Η ιστοσελίδα αναλύθηκε από την Unmask Parasites και αργότερα από την ESET και τον ερευνητή ασφαλείας Eric Romang.
Η Avast! επίσης προσπάθησε να έρθει σε επαφή με τους LA Times, αλλά αντιμετώπισε κάποιες δυσκολίες και έτσι την Παρασκευή η ιστοσελίδα δεν είχε ακόμα φτιαχτεί. Ευτυχώς, υπάρχουν antivirus που είναι σε θέση να μπλοκάρουν την απειλή.
