Il rapporto collega Los Pollos e RichAds alle operazioni di traffico di malware

Una nuova ricerca di Infoblox Threat Intel svela un'alleanza nascosta tra importanti gruppi di criminalità informatica come VexTrio e aziende AdTech apparentemente legittime come Los Pollos, Partners House, BroPush e RichAds. Scopri come malware, tra cui DollyWay, hanno modificato le operazioni, rivelando infrastrutture e tattiche condivise.

Infoblox Threat Intel ha scoperto un'alleanza segreta tra due gruppi di criminalità informatica, VexTrio e aziende AdTech apparentemente legittime. Questa scoperta è avvenuta dopo aver bloccato VexTrio, costringendo molti gruppi di malware a rivolgersi a un unico fornitore, precedentemente nascosto.

L' indagine è iniziata con l'interruzione del sistema di distribuzione del traffico (TDS) di VexTrio. Un TDS agisce come un controller digitale del traffico, indirizzando i visitatori di un sito web ai contenuti. Tuttavia, un TDS dannoso indirizza gli utenti a siti dannosi contenenti malware o truffe, spesso "mascherandoli" o nascondendone la vera natura. Quando il TDS di VexTrio è stato interrotto, gli autori del malware si sono spostati inaspettatamente su quello che sembrava un nuovo TDS, ma era lo stesso.

Il 13 novembre 2024, i ricercatori di Qurium hanno rivelato che Los Pollos, un'azienda AdTech svizzero-ceca, faceva parte di VexTrio. La scoperta è avvenuta quando il gruppo russo Doppelganger ha utilizzato gli "smartlink" di Los Pollos (link che i malintenzionati utilizzano per inviare traffico a un TDS AdTech dannoso, indirizzando gli utenti verso app false o truffe). Infoblox e Qurium hanno quindi collaborato, condividendo informazioni con altri gruppi di sicurezza.

Il 17 novembre, Los Pollos ha interrotto la monetizzazione tramite push link, causando cambiamenti immediati nei siti web compromessi. Entro il 20 novembre 2024, malware come DollyWay , che in precedenza utilizzava VexTrio e sfruttava le vulnerabilità di WordPress da otto anni, sono passati al TDS Help.

Anche altre importanti campagne malware, tra cui Balada e Sign1, identificate da GoDaddy, hanno cambiato o cessato le operazioni. Il rapporto di GoDaddy del 2024 indicava che quasi il 40% dei siti compromessi reindirizzava i visitatori tramite VexTrio a Los Pollos.

Ulteriori controlli hanno confermato che Help TDS non era una novità, ma che era legato a VexTrio da anni. I ricercatori hanno scoperto che Help TDS e Disposable TDS erano la stessa cosa, condividendo un rapporto speciale con VexTrio fino a novembre 2024.

L'analisi di 4,5 milioni di risposte ai record DNS TXT ha mostrato che il malware che utilizzava record DNS TXT per il comando e controllo (C2) passava anche a Help TDS. Questi server C2, nonostante configurazioni diverse, conducevano tutti a VexTrio prima della modifica e poi a Help TDS.

L'indagine ha scoperto che molti TDS condividevano software e modelli di indirizzi web con VexTrio, suggerendo un'origine comune. Sebbene il proprietario del TDS Help sia sconosciuto, aziende commerciali AdTech come Partners House, BroPush e RichAds gestiscono TDS comuni, molti dei quali con legami con la Russia, sebbene non sia stata riscontrata alcuna proprietà comune.

La dipendenza degli operatori di malware dall'AdTech commerciale potrebbe rivelarsi la loro rovina, poiché queste aziende detengono informazioni personali e di pagamento che potrebbero identificare i criminali. L'uso costante di codice condiviso, immagini ingannevoli e modelli di indirizzi web da parte di VexTrio, Help e Disposable TDS, oltre a JavaScript specifici che ostacolano la navigazione dell'utente, indica un'operazione profondamente coordinata.

Sei TDS, tra cui VexTrio, Partners House e RichAds, utilizzano immagini esca identiche, spesso denominate semplicemente "1.png", "2.png", ecc., per indurre gli utenti ad accettare notifiche push dannose. Queste reti, gestite da grandi reti di affiliazione pubbliche specializzate in pubblicità push, utilizzano anche PowerDNS, il che suggerisce un'infrastruttura condivisa.

Questi risultati dimostrano che la complessità della criminalità informatica è in crescita, rendendo difficile distinguere tra operazioni legittime e dannose. Tuttavia, la ricerca continua e la collaborazione tra le aziende di sicurezza possono essere importanti per proteggere gli utenti online da tali truffe.