Rapor, Los Pollos ve RichAds'i Kötü Amaçlı Yazılım Trafik Operasyonlarına Bağlıyor

Infoblox Threat Intel'in yeni araştırması, VexTrio gibi büyük siber suç grupları ile Los Pollos, Partners House, BroPush ve RichAds gibi meşru görünen AdTech firmaları arasındaki gizli ittifakı ortaya çıkarıyor. DollyWay dahil kötü amaçlı yazılımların operasyonları nasıl değiştirdiğini, paylaşılan altyapıyı ve taktikleri nasıl ortaya çıkardığını keşfedin.

Infoblox Threat Intel, iki siber suç grubu olan VexTrio ve görünüşte meşru AdTech şirketleri arasındaki gizli bir ittifakı ifşa etti. Bu keşif, VexTrio'nun bozulmasının ardından geldi ve birçok kötü amaçlı yazılım grubunun daha önce gizli olan tek bir sağlayıcıya geçmesine neden oldu.

Soruşturma , VexTrio'nun Trafik Dağıtım Sistemi'ni (TDS) bozarak başladı. Bir TDS, dijital trafik kontrolörü gibi davranarak web sitesi ziyaretçilerini içeriğe yönlendirir. Ancak kötü niyetli bir TDS, kullanıcıları kötü amaçlı yazılım veya dolandırıcılık içeren zararlı sitelere gönderir, genellikle gerçek doğasını "gizleyerek" veya saklayarak. VexTrio'nun TDS'si bozulduğunda, kötü amaçlı yazılım aktörleri beklenmedik bir şekilde yeni bir TDS gibi görünen bir şeye geçtiler, ancak aynıydı.

13 Kasım 2024'te Qurium araştırmacıları, İsviçre-Çek AdTech şirketi Los Pollos'un VexTrio'nun bir parçası olduğunu açıkladı . Bu, Rusya'nın Doppelganger grubunun Los Pollos'un "akıllı bağlantılarını" (kötü amaçlı yazılım operatörlerinin trafiği kötü amaçlı bir AdTech TDS'ye göndermek için kullandığı, insanları sahte uygulamalara veya dolandırıcılıklara yönlendiren bağlantılar) kullandığında keşfedildi. Infoblox ve Qurium daha sonra iş birliği yaparak diğer güvenlik gruplarıyla bilgi paylaştı.

Los Pollos, 17 Kasım'da push link para kazanma özelliğini durdurdu ve bu da saldırıya uğramış web sitelerinde anında değişikliklere neden oldu. 20 Kasım 2024'te, daha önce VexTrio kullanan ve sekiz yıldır WordPress güvenlik açıklarından faydalanan DollyWay gibi kötü amaçlı yazılımlar Help TDS'ye geçti.

GoDaddy tarafından tanımlanan Balada ve Sign1 gibi diğer büyük kötü amaçlı yazılım kampanyaları da faaliyetlerini değiştirdi veya durdurdu. GoDaddy'nin 2024 raporu , tehlikeye atılan sitelerin neredeyse %40'ının ziyaretçileri Los Pollos üzerinden VexTrio aracılığıyla yönlendirdiğini belirtti.

Daha fazla kontrol, Help TDS'nin yeni olmadığını, ancak yıllardır VexTrio'ya bağlı olduğunu doğruladı. Araştırmacılar, Help TDS ve Disposable TDS'nin aynı olduğunu ve Kasım 2024'e kadar VexTrio ile özel bir ilişki paylaştığını buldu.

4,5 milyon DNS TXT kayıt yanıtının analizi, komut ve kontrol (C2) için DNS TXT kayıtlarını kullanan kötü amaçlı yazılımların Help TDS'ye de geçtiğini gösterdi. Bu C2 sunucuları, farklı kurulumlara rağmen, değişiklikten önce VexTrio'ya ve ardından Help TDS'ye yönlendirdi .

Soruşturma, birçok TDS'nin VexTrio ile yazılım ve web adresi desenlerini paylaştığını ve ortak bir kökene işaret ettiğini buldu. Help TDS sahibi bilinmemekle birlikte, Partners House, BroPush ve RichAds gibi ticari AdTech şirketleri, çoğu Rus bağlantılı ortak TDS'ler işletiyor, ancak ortak bir sahiplik bulunamadı.

Kötü amaçlı yazılım operatörlerinin ticari AdTech'e olan güveni, bu şirketlerin suçluları tanımlayabilecek kişisel ve ödeme bilgilerine sahip olması nedeniyle onların çöküşü olabilir. VexTrio, Help ve Disposable TDS'ler tarafından paylaşılan kod, hileli resimler ve web adresi kalıplarının tutarlı kullanımı, ayrıca kullanıcı gezinmesini engelleyen belirli JavaScript, derinlemesine koordine edilmiş bir operasyona işaret ediyor.

VexTrio, Partners House ve RichAds dahil altı TDS, kullanıcıları kötü amaçlı push bildirimlerine izin vermeye kandırmak için genellikle basitçe "1.png", "2.png" vb. olarak adlandırılan aynı cazibeli görselleri kullanır. Push reklamcılığında uzmanlaşmış büyük kamuya açık iştirak ağları tarafından işletilen bu ağlar, paylaşılan altyapıyı öneren PowerDNS'yi de kullanır.

Bu bulgular, siber suç karmaşıklığının arttığını ve meşru ve kötü niyetli işlemler arasında ayrım yapmayı zorlaştırdığını göstermeye devam ediyor. Ancak, güvenlik firmaları arasındaki sürekli araştırma ve iş birliği, çevrimiçi kullanıcıları bu tür dolandırıcılıklardan korumak için önemli olabilir.