Relatório vincula Los Pollos e RichAds a operações de tráfico de malware

Uma nova pesquisa da Infoblox Threat Intel expõe uma aliança oculta entre grandes grupos de cibercrime como o VexTrio e empresas de AdTech aparentemente legítimas, como Los Pollos, Partners House, BroPush e RichAds. Descubra como malwares, incluindo o DollyWay, alteraram as operações, revelando infraestrutura e táticas compartilhadas.

A Infoblox Threat Intel expôs uma aliança secreta entre dois grupos de cibercrime, o VexTrio, e empresas de AdTech aparentemente legítimas. A descoberta ocorreu após a interrupção do VexTrio, fazendo com que muitos grupos de malware migrassem para um único provedor, até então oculto.

A investigação começou com a interrupção do Sistema de Distribuição de Tráfego (TDS) do VexTrio. Um TDS atua como um controlador de tráfego digital, direcionando os visitantes do site para o conteúdo. No entanto, um TDS malicioso direciona os usuários para sites nocivos com malware ou golpes, muitas vezes "disfarçando" ou ocultando sua verdadeira natureza. Quando o TDS do VexTrio foi interrompido, os agentes de malware migraram inesperadamente para o que parecia ser um novo TDS, mas era o mesmo.

Em 13 de novembro de 2024, pesquisadores da Qurium revelaram que a Los Pollos, uma empresa de AdTech suíço-tcheca, fazia parte do VexTrio. Isso foi descoberto quando o grupo russo Doppelganger utilizou os "smartlinks" da Los Pollos (links que operadores de malware usam para enviar tráfego para um TDS de AdTech malicioso, levando usuários a aplicativos falsos ou golpes). A Infoblox e a Qurium então colaboraram, compartilhando informações com outros grupos de segurança.

Em 17 de novembro, o Los Pollos interrompeu a monetização de links push, causando alterações imediatas em todos os sites hackeados. Em 20 de novembro de 2024, malwares como o DollyWay , que anteriormente usava o VexTrio e explorava vulnerabilidades do WordPress há oito anos, migraram para o Help TDS.

Outras grandes campanhas de malware, incluindo Balada e Sign1, identificadas pela GoDaddy, também mudaram ou interromperam suas operações. O relatório de 2024 da GoDaddy indicou que quase 40% dos sites comprometidos redirecionavam visitantes via VexTrio para Los Pollos.

O papel das redes de afiliados na Adtech maliciosa (Fonte: Infoblox)

Verificações posteriores confirmaram que o Help TDS não era novo, mas estava vinculado ao VexTrio há anos. Os pesquisadores descobriram que o Help TDS e o Disposable TDS eram a mesma coisa, compartilhando uma relação especial com o VexTrio até novembro de 2024.

A análise de 4,5 milhões de respostas a registros DNS TXT mostrou que malwares que utilizavam registros DNS TXT para comando e controle (C2) também migraram para o Help TDS. Esses servidores C2, apesar de configurações diferentes, todos levavam ao VexTrio antes da mudança e, posteriormente, ao Help TDS.

A investigação descobriu que muitos TDSs compartilhavam padrões de software e endereços web com o VexTrio, sugerindo uma origem comum. Embora o proprietário do Help TDS seja desconhecido, empresas comerciais de AdTech como Partners House, BroPush e RichAds operam TDSs comuns, muitos com vínculos com a Rússia, embora nenhuma propriedade comum tenha sido encontrada.

A dependência dos operadores de malware em AdTech comercial pode ser sua ruína, já que essas empresas detêm informações pessoais e de pagamento que podem identificar criminosos. O uso consistente de código compartilhado, imagens de trapaça e padrões de endereços da web por VexTrio, Help e Disposable TDSs, além de JavaScript específico que dificulta a navegação do usuário, aponta para uma operação profundamente coordenada.

Seis TDSs, incluindo VexTrio, Partners House e RichAds, usam imagens de isca idênticas, muitas vezes chamadas simplesmente de "1.png", "2.png" etc., para induzir os usuários a permitir notificações push maliciosas. Essas redes, administradas por grandes redes públicas afiliadas especializadas em publicidade push, também usam PowerDNS, sugerindo uma infraestrutura compartilhada.

Essas descobertas demonstram que a sofisticação do crime cibernético está crescendo, dificultando a diferenciação entre operações legítimas e maliciosas. No entanto, pesquisas contínuas e a colaboração entre empresas de segurança podem ser importantes para proteger os usuários online desses golpes.