Un actor de amenaza conocido como Vane Viper está fuera como proveedor de tecnología de publicidad maliciosa (ADTech). Mientras tanto, se basa en la enredada web y la estructura de propiedad opaca de las compañías Shell para elaborar deliberadamente la responsabilidad.
«Vane Viper ha estado proporcionando una infraestructura central para la propagación de fraude generalizado, fraude publicitario y amenazas cibernéticas durante al menos 10 años», dijo Informlox en un informe técnico publicado la semana pasada en colaboración con Guardio y Confiant.
«Parece que Vane Viper no solo está negociando el tráfico de malware y el tráfico de Fisher, sino que también ejecuta su propia campaña, de acuerdo con las técnicas de anuncios previamente documentadas».
Vane Viper, también conocido como Omnatuor, fue documentado previamente por las compañías de inteligencia de amenazas de DNS en agosto de 2022 y lo describió como una red deshonesta similar a Vextrio Viper, que utiliza sitios vulnerables de WordPress para aprovechar grandes redes de dominios comprometidos para difundir Riskware, Spyware y Adware.
Un aspecto notable de las técnicas de persistencia del actor de amenazas es el abuso de los permisos de notificación push para cumplir con anuncios incluso después de que los usuarios cambien la configuración de su navegador y abandonen la página inicial. Este enfoque se basa en los trabajadores de servicios que mantienen un proceso permanente del navegador sin cabeza para escuchar eventos y proporcionar notificaciones no deseadas.
A fines del año pasado, Guardio Labs expuso una campaña llamada DeceptionalAds, que aprovechó la red publicitaria maliciosa de Vane Viper para promover campañas de ingeniería social al estilo de ClickFix. La actividad se atribuye a una compañía llamada Monetag, una compañía de tecnología de publicidad comercial que es una subsidiaria de Propellerads, según Informlox, que es una subsidiaria de Adtech Holding, una compañía tenedora con sede en Chipre.
Los dominios vinculados a Properllerads se han marcado durante mucho tiempo para impulsar campañas e impulsar el tráfico para aprovechar los kits y otros sitios no autorizados. Un análisis posterior revela evidencia que sugiere que varias campañas de fraude publicitaria surgen de la infraestructura causada por Propellerads.
La compañía de seguridad cibernética dice que Vane Viper ha representado alrededor de 1 billón de consultas DNS para aproximadamente la mitad de su red de clientes durante el año pasado, y los actores de amenazas utilizarán cientos de miles de sitios web comprometidos y ADS malos para redirigir a los usuarios del sitio sin examinar a los usuarios de los sitios maliciosos a las extensiones maliciosas de los browser, las extensiones de los navegadores maliciosos, incluidas la entrada de los browser maliciosos, incluidos los browser maliciosos. En un caso, se llama Triada.
Además, Vane Viper parece compartir el vínculo entre la infraestructura y HR con soluciones URL (Pananaam), Webzilla y XBT Holdings. El primero también está vinculado a un sitio de desinformación establecido por una operación de influencia rusa llamada Doppelgänger. Otras compañías propiedad de Adtech Holding incluyen propushme, Zeydoo, Notix y Adex.
Aproximadamente 60,000 dominios se califican como parte de la infraestructura de Vane Viper, la mayoría de los cuales permanecen activos en un mes. Sin embargo, hay varios dominios que están activos durante más de 1.200 días, incluidos los omnatuor originales (.) Com, el seguimiento de hélices (.) Com y otros se centraron en los servicios de notificación push.
Se sabe que esta operación registra una gran cantidad de nuevos dominios cada mes y escala un máximo de 3.500 dominios solo en octubre de 2024. Este es un salto importante de menos de 500 dominios registrados en abril de 2023. Los dominios VIPER VANE representan casi el 50% de los dominios de registro a granel a través de soluciones de URL desde 2023.
Sin embargo, Propellerads ha negado previamente el fraude, diciendo que es «solo un intermediario automatizado que ayuda a los anunciantes a encontrar el mejor editor para publicar sus anuncios,» y «no admite, apoya o fomenta anuncios maliciosos en la red».
«Vane Viper no es solo un actor de amenaza que se esconde detrás de la plataforma Adtech», dijo Infloxox. «Este es un actor de amenaza como una plataforma Adtech. Adtech Holding afirma proporcionar alcance y monetización a los anunciantes a escala, pero eso en realidad plantea el riesgo».
«Vane Viper usa TDS (sistema de entrega de tráfico) para proporcionar múltiples tipos de amenazas mientras se esconde detrás de la negatividad plausible de actuar como una red publicitaria».
Source link
