Los actores de amenaza detrás del Servicio de Distribución de Tráfico de Viper Vextrio (TDS) están vinculados a otros servicios de TDS, como Ayuda TD y TD desechables, lo que indica que las operaciones sofisticadas de delitos cibernéticos son sus propias vastas empresas diseñadas para distribuir contenido malicioso.
«Vextrio es un grupo de compañías maliciosas de Adtech que distribuyen fraude y software dañino a través de una variedad de formatos publicitarios, incluidos los smartlinks y las notificaciones push», dijo Informlox en un informe de buceo profundo que comparte con noticias de hackers.
Las compañías maliciosas de Adtech bajo Vextrio Viper incluyen Los Pollos, Taco Loco y Adrafico. Estas compañías operan lo que se conoce como redes de afiliados comerciales donde los usuarios aterrizan y conectan fiestas de malware que conectan sitios web iluminados por «afiliados publicitarios» con los llamados «afiliados publicitarios» que proporcionan diversas formas de esquemas ilegales, como fraude con tarjetas de regalo, aplicaciones maliciosas, sitios de phishing y estafas.
Dicho de otra manera, estos sistemas de entrega de tráfico malicioso están diseñados para redirigir a las víctimas a sus destinos a través de SmartLink o ofertas directas. Según la firma de inteligencia de amenazas de DNS, Los Pollos involucra a distribuidores de malware (también conocidos como afiliados) en su promesa de ofertas de alto pago, mientras que Taco Loco se especializa en lanetización de empuje y está reclutando afiliados publicitarios.
Otro elemento notable de estos ataques es el compromiso de sitios web de WordPress que inyectan un código malicioso responsable de comenzar la cadena de redireccionamiento, lo que finalmente lleva a los visitantes a la infraestructura de estafa Vextrio. Ejemplos de tales inyecciones incluyen campañas de registros de Balada, Dollyway, SIGN1 y DNS TXT.
«Estos scripts redirigen a los visitantes del sitio a varias páginas de estafas. La red de corredores de tráfico asociada con Vextrio es una de las redes de filiales de cibercrimen más grandes que aprovechan las tecnologías DNS sofisticadas, los sistemas de distribución de tráfico y los algoritmos de generación de dominio para proporcionar malware y fraude.
Las operaciones de Vextrio fueron atropelladas a mediados de noviembre de 2024 después de que el Corio reveló que la compañía suiza y checa Adtech Los Pollos es parte de Vextrio. Esto ha causado escapes, y ahora mueve a los actores de amenaza que dependen en gran medida de la red de Los Pollos para redirigir destinos alternativos, como Ayuda TD y TDS desechables.
Cambios en el comportamiento a lo largo del tiempo de dos conjuntos C2 independientes
Un análisis de infoBlox de 4.5 millones de respuestas de registro de TXT DNS de sitios web comprometidos durante seis meses reveló que los dominios que formaban parte de la campaña de registro DNS TXT podrían clasificarse en dos conjuntos, cada uno con sus propios servidores de comando y control (C2).
«Ambos servidores fueron alojados en infraestructura conectada a Rusia, pero ni el alojamiento ni la respuesta TXT se duplicaron», dijo la compañía. «Cada conjunto mantuvo una estructura de URL de redirección diferente a pesar de que ambos fueron liderados originalmente por Vextrio y posteriormente condujeron a Helt TDS».
Se ha surgido pruebas adicionales de que tanto los TD como los TD desechables son idénticos, lo que respalda el servicio que disfruta de una «relación exclusiva» con Vextrio hasta noviembre de 2024. Helttds se ha mudado a Monetizer, una plataforma de monetización donde TDS, redirigidos históricamente al dominio de Vextrio, usa TDS para conectar a las afiliadas editoras.
«Ayuda TDS tiene un nexo ruso fuerte, y el alojamiento y el registro de dominio se realizan con frecuencia a través de entidades rusas», dijo Informlox, describiendo al operador como quizás independiente. «No existe una funcionalidad a gran escala de los TDS de Vextrio, y no hay una conexión comercial obvia más allá de la conexión espeluznante con Vextrio».
Vextrio es uno de los muchos TDS que han estado fuera como una empresa comercial de tecnología publicitaria, otros son House, Blopsh, Richad, ADM Sin y Rexpush. Muchos de estos están dirigidos a servicios de notificación push utilizando Google Firebase Cloud Messaging (FCM). Alternativamente, presione un script de desarrollo personalizado basado en API para distribuir enlaces al contenido malicioso a través de notificaciones push.
«Cada año, cientos de miles de sitios web comprometidos en todo el mundo redirigen a las víctimas a la red entrelazada de Vextrio y TDSS que protegen a Vextrio», dijo la compañía.
«Vextrio y otras compañías de anuncios afiliados saben quiénes son los actores de malware, o al menos tienen suficiente información para rastrearlos. Muchas compañías están registradas en países que requieren una cierta cantidad de» conoce a sus clientes «(KYC), pero incluso sin estos requisitos, los administradores de clientes revisan los afiliados públicos».
Source link
