Das berichten Experten der britischen Security-Firma Sophos. Sie vermuten, dass dazu der Flash-Befehl "setClipboard" verwendet wird. Der Aufruf erfolgt dabei über Flash-Werbung, die mit bösartigen Skripts infiziert und ins Ökosystem der Web-Werbung eingeschleust wurde (offenbar auch auf populären und seriösen Sites).

Die in die - für gewöhnlich unsichtbare - Zwischenablage eingefügten URLs verweisen wiederum auf Web-Seiten mit Schadcode (Malware), genauer vorgeblicher Security-Software. Ein ahnungsloser Internetnutzer kann beispielsweise darauf geleitetet werden, wenn er den Inhalt des Clipboards in die Adresszeile seines Browsers einfügt.

Die "Vergiftung" der Zwischenablage wurde bereits in mehreren Nutzerforen gemeldet, unter anderem bei Apple. Besonders gemein an der Attacke ist die Tatsache, dass der ins Clipboard eingefügte bösartige URL offenbar längere Zeit erhalten bleibt, selbst wenn der Nutzer durch Kopieren eigentlich einen neuen Inhalt in die Zwischenablage befördert.

Laut Graham Cluely, Senior Technology Consultant bei Sophos, lässt sich die Zwischenablage leeren, indem man der Browser schließt. Teilweise genügt es auch, die Registerkarte ("Tab") zu schließen, in der die Seite mit der infizierten Flash-Werbung läuft. Firmen empfiehlt Cluely zusätzlich, eine Web-Filterung für die Seiten mit den gefälschten Sicherheitsprogrammen einzusetzen.