网络安全公司Infoblox在一份提供给The Hacker News的深度报告中披露,VexTrio Viper流量分发系统(Traffic Distribution Service, TDS)背后的威胁行为者已被证实与其他TDS服务(如Help TDS和Disposable TDS)有关联。这表明该复杂的网络犯罪行动本身就是一个庞大的企业,旨在分发恶意内容。
“VexTrio是一个由恶意广告技术公司组成的团体,它们通过不同的广告形式(包括智能链接和推送通知)分发诈骗和有害软件。”Infoblox在报告中指出。
VexTrio Viper旗下的部分恶意广告技术公司包括Los Pollos、Taco Loco和Adtrafico。这些公司运营着所谓的商业联盟网络(commercial affiliate network),该网络将恶意软件行为者(其网站会吸引毫无戒心的用户访问)与所谓的“广告联盟会员”(advertising affiliates)连接起来。后者提供各种形式的非法活动,如礼品卡欺诈、恶意应用程序、网络钓鱼网站和诈骗活动。
运作模式解析
简而言之,这些恶意流量分发系统旨在通过智能链接(SmartLink)或直接报价(direct offer)将受害者重定向至其目的地。根据该DNS威胁情报公司的说法,Los Pollos招募恶意软件分发者(即发布联盟会员/publishing affiliates),承诺提供高回报报价;而Taco Loco则专注于推送变现(push monetization),并招募广告联盟会员。
WordPress网站成为跳板
这类攻击的另一个显著特点是WordPress网站被攻陷,并被注入恶意代码以启动重定向链,最终将访问者引导至VexTrio的诈骗基础设施。此类注入的示例包括Balada、DollyWay、Sign1以及DNS TXT记录活动。
域名注册商GoDaddy在2025年3月发布的一份报告中指出:“这些脚本通过关联VexTrio的流量代理网络将网站访问者重定向到各种诈骗页面。VexTrio是已知最大的网络犯罪联盟网络之一,它利用复杂的DNS技术、流量分发系统和域名生成算法在全球网络中传播恶意软件和诈骗。”
打击行动与后续变化
VexTrio的运营在2024年11月中旬左右遭受打击。此前,网络安全组织Qurium揭露瑞士-捷克广告技术公司Los Pollos是VexTrio的一部分,导致Los Pollos停止了其推送链接变现服务。这进而引发了“出逃潮”,严重依赖Los Pollos网络的威胁行为者被迫转向其他重定向目的地,例如Help TDS和Disposable TDS。
两个独立C2集群的行为演变
Infoblox对来自受感染网站的450万条DNS TXT记录响应进行了为期六个月的分析。分析显示,参与DNS TXT记录活动的域名可分为两个集合,每个集合拥有各自独立的命令与控制(C2)服务器。
“两台服务器都托管在与俄罗斯有关联的基础设施上,但它们的托管服务及其TXT响应内容并无重叠,”该公司表示。“即使两者最初都指向VexTrio,随后又指向Help TDS,但每个集合都维持着不同的重定向URL结构。”
进一步的证据表明,Help TDS和Disposable TDS实际上是同一个服务。并且,在2024年11月之前,该服务与VexTrio保持着“独家关系”。历史上将流量重定向至VexTrio域名的Help TDS,现已转向Monetizer——一个利用TDS技术将发布联盟会员的网络流量与广告商连接起来的变现平台。
Help TDS的俄罗斯背景
“Help TDS与俄罗斯有紧密联系,其托管和域名注册经常通过俄罗斯实体完成,”Infoblox描述道,并称其运营商可能是独立的。“它不具备VexTrio TDS的完整功能,并且除了与VexTrio诡异的联系外,没有明显的商业往来。”
恶意广告技术公司生态
VexTrio只是众多被揭露为商业广告技术公司的TDS之一,其他还包括Partners House、BroPush、RichAds、Admeking和RexPush。其中许多公司专注于推送通知服务,利用Google Firebase Cloud Messaging (FCM) 或基于Push API定制开发的脚本,通过推送通知分发指向恶意内容的链接。
规模与追责困境
Infoblox强调:“全球每年有数十万个被入侵的网站将受害者重定向到VexTrio及其联盟TDS的复杂网络中。VexTrio和其他联盟广告公司知道恶意软件行为者是谁,或者他们至少掌握足够的信息来追踪这些人。许多公司都在要求某种程度‘了解你的客户’(Know Your Customer, KYC)的国家注册,但即使没有这些要求,发布联盟会员也会受到其客户经理的审查。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容