Raport łączy Los Pollos i RichAds z operacjami związanymi ze złośliwym oprogramowaniem

Nowe badania firmy Infoblox Threat Intel ujawniają ukryty sojusz między głównymi grupami cyberprzestępczymi, takimi jak VexTrio, a pozornie legalnymi firmami AdTech, takimi jak Los Pollos, Partners House, BroPush i RichAds. Dowiedz się, jak złośliwe oprogramowanie, w tym DollyWay, zmieniło operacje, ujawniając wspólną infrastrukturę i taktykę.

Infoblox Threat Intel ujawnił tajny sojusz między dwiema grupami cyberprzestępczymi, VexTrio i pozornie legalnymi firmami AdTech. Odkrycie to nastąpiło po zakłóceniu VexTrio, co spowodowało, że wiele grup zajmujących się złośliwym oprogramowaniem przeszło na jednego, wcześniej ukrytego dostawcę.

Śledztwo rozpoczęło się od zakłócenia działania Traffic Distribution System (TDS) firmy VexTrio. TDS działa jak cyfrowy kontroler ruchu, kierując odwiedzających witrynę do treści. Jednak złośliwy TDS wysyła użytkowników do szkodliwych witryn ze złośliwym oprogramowaniem lub oszustwami, często poprzez „maskowanie” lub ukrywanie swojej prawdziwej natury. Kiedy TDS firmy VexTrio został zakłócony, aktorzy złośliwego oprogramowania niespodziewanie przeszli na to, co wyglądało na nowy TDS, ale był to ten sam.

13 listopada 2024 r. badacze Qurium ujawnili , że Los Pollos, szwajcarsko-czeska firma AdTech, była częścią VexTrio. Odkryto to, gdy rosyjska grupa Doppelganger wykorzystała „smartlinks” Los Pollos (łącza, których operatorzy złośliwego oprogramowania używają do wysyłania ruchu do złośliwego AdTech TDS, co prowadzi ludzi do fałszywych aplikacji lub oszustw). Następnie Infoblox i Qurium nawiązały współpracę, dzieląc się informacjami z innymi grupami ds. bezpieczeństwa.

17 listopada Los Pollos zaprzestało monetyzacji linków push, co spowodowało natychmiastowe zmiany w zhakowanych witrynach. Do 20 listopada 2024 r. złośliwe oprogramowanie, takie jak DollyWay , które wcześniej używało VexTrio i wykorzystywało luki w zabezpieczeniach WordPressa przez osiem lat, przeszło na Help TDS.

Inne duże kampanie malware, w tym Balada i Sign1, zidentyfikowane przez GoDaddy, również zmieniły lub zaprzestały działalności. Raport GoDaddy z 2024 r. wskazał, że prawie 40% zainfekowanych witryn przekierowało odwiedzających przez VexTrio do Los Pollos.

Dalsze kontrole potwierdziły, że Help TDS nie jest nowym rozwiązaniem, ale od lat jest powiązane z VexTrio. Naukowcy odkryli, że Help TDS i Disposable TDS są takie same, dzieląc szczególną relację z VexTrio do listopada 2024 r.

Analiza 4,5 miliona odpowiedzi rekordów DNS TXT wykazała, że ​​złośliwe oprogramowanie używające rekordów DNS TXT do poleceń i kontroli (C2) również przełączyło się na Help TDS. Te serwery C2, pomimo różnych konfiguracji, wszystkie prowadziły do ​​VexTrio przed zmianą, a następnie do Help TDS.

Śledztwo wykazało, że wiele TDS-ów dzieliło oprogramowanie i wzorce adresów internetowych z VexTrio, co sugeruje wspólne pochodzenie. Podczas gdy właściciel Help TDS jest nieznany, komercyjne firmy AdTech, takie jak Partners House, BroPush i RichAds, obsługują wspólne TDS-y, wiele z nich ma powiązania z Rosją, chociaż nie znaleziono żadnego wspólnego właściciela.

Poleganie operatorów malware na komercyjnych AdTech może być ich upadkiem, ponieważ firmy te posiadają dane osobowe i płatnicze, które mogą identyfikować przestępców. Stałe używanie wspólnego kodu, obrazów-sztuczek i wzorców adresów internetowych przez VexTrio, Help i Disposable TDS, a także specyficzny JavaScript utrudniający nawigację użytkownika, wskazuje na głęboko skoordynowaną operację.

Sześć TDS, w tym VexTrio, Partners House i RichAds, używa identycznych obrazów wabiących, często nazywanych po prostu „1.png”, „2.png” itd., aby oszukać użytkowników i nakłonić ich do zezwalania na złośliwe powiadomienia push. Te sieci, prowadzone przez duże publiczne sieci partnerskie specjalizujące się w reklamie push, również używają PowerDNS, co sugeruje wspólną infrastrukturę.

Wyniki te pokazują, że wyrafinowanie cyberprzestępczości rośnie, co utrudnia rozróżnienie legalnych i złośliwych operacji. Jednak ciągłe badania i współpraca między firmami ochroniarskimi mogą być ważne dla ochrony użytkowników online przed takimi oszustwami.