Отчет связывает Los Pollos и RichAds с операциями по распространению вредоносного ПО

Новое исследование Infoblox Threat Intel раскрывает скрытый альянс между крупными киберпреступными группами, такими как VexTrio, и, казалось бы, законными фирмами AdTech, такими как Los Pollos, Partners House, BroPush и RichAds. Узнайте, как вредоносное ПО, включая DollyWay, изменило операции, раскрывая общую инфраструктуру и тактику.

Угроза Infoblox Intel раскрыла секретный альянс между двумя киберпреступными группами, VexTrio и, казалось бы, легитимными компаниями AdTech. Это открытие произошло после нарушения работы VexTrio, что заставило многие вредоносные группы перейти на одного, ранее скрытого поставщика.

Расследование началось с нарушения работы системы распределения трафика (TDS) VexTrio. TDS действует как цифровой контроллер трафика, направляя посетителей веб-сайта к контенту. Однако вредоносная TDS отправляет пользователей на вредоносные сайты с вредоносным ПО или мошенничеством, часто «маскируя» или скрывая свою истинную природу. Когда TDS VexTrio была нарушена, злоумышленники неожиданно переместились на то, что казалось новой TDS, но это была та же самая.

13 ноября 2024 года исследователи Qurium раскрыли , что швейцарско-чешская AdTech-компания Los Pollos была частью VexTrio. Это было обнаружено, когда российская группа Doppelganger использовала «умные ссылки» Los Pollos (ссылки, которые операторы вредоносного ПО используют для отправки трафика на вредоносный AdTech TDS, что приводит людей к поддельным приложениям или мошенничеству). Затем Infoblox и Qurium начали сотрудничать, обмениваясь информацией с другими группами безопасности.

17 ноября Los Pollos прекратил монетизацию push-ссылок, что привело к немедленным изменениям на взломанных веб-сайтах. К 20 ноября 2024 года вредоносное ПО вроде DollyWay , которое ранее использовало VexTrio и эксплуатировало уязвимости WordPress в течение восьми лет, переключилось на Help TDS.

Другие крупные вредоносные кампании, включая Balada и Sign1, выявленные GoDaddy, также изменили или прекратили свою деятельность. Отчет GoDaddy за 2024 год показал, что почти 40% взломанных сайтов перенаправляли посетителей через VexTrio через Los Pollos.

Дальнейшие проверки подтвердили, что Help TDS не является новым, но был связан с VexTrio в течение многих лет. Исследователи обнаружили, что Help TDS и Disposable TDS были одним и тем же, разделяя особые отношения с VexTrio до ноября 2024 года.

Анализ 4,5 миллионов ответов записей DNS TXT показал, что вредоносное ПО, использующее записи DNS TXT для управления и контроля (C2 ) , также переключилось на Help TDS. Все эти серверы C2, несмотря на разные настройки, вели к VexTrio до изменения, а затем к Help TDS.

Расследование обнаружило, что многие TDS имеют общее программное обеспечение и шаблоны веб-адресов с VexTrio, что указывает на общее происхождение. Хотя владелец Help TDS неизвестен, коммерческие компании AdTech, такие как Partners House, BroPush и RichAds, используют общие TDS, многие из которых связаны с Россией, хотя общих владельцев обнаружено не было.

Зависимость операторов вредоносных программ от коммерческих AdTech может стать их крахом, поскольку эти компании хранят персональные и платежные данные, которые могут идентифицировать преступников. Постоянное использование общего кода, изображений-обманок и шаблонов веб-адресов VexTrio, Help и Disposable TDS, а также определенный JavaScript, затрудняющий навигацию пользователя, указывают на глубоко скоординированную операцию.

Шесть TDS, включая VexTrio, Partners House и RichAds, используют идентичные изображения-приманки, часто называемые просто «1.png», «2.png» и т. д., чтобы обмануть пользователей и заставить их разрешить вредоносные push-уведомления. Эти сети, управляемые крупными публичными партнерскими сетями, специализирующимися на push-рекламе, также используют PowerDNS, что предполагает общую инфраструктуру.

Эти результаты продолжают показывать, что изощренность киберпреступности растет, что затрудняет различение законных и вредоносных операций. Тем не менее, постоянные исследования и сотрудничество между фирмами по безопасности могут быть важны для защиты онлайн-пользователей от такого мошенничества.