广告技术行业黑暗面：商业公司助长网络犯罪

恶意广告网络如同不死鸟，每次被打击后都会以新名称重生，犯罪团伙随即蜂拥而至。安全研究团队近期揭露：网站黑客与特定广告技术公司存在深度勾结。

自2015年底起，黑客劫持WordPress等网站后，会将访问者重定向至VexTrio——全球最大的犯罪流量分发系统（TDS）。该恶意联盟计划进而通过被劫持网站传播恶意软件、诈骗信息及非法内容。这套犯罪系统如同智能路由：在伪装无害的前提下，精准将用户引导至恶意站点。

安全公司Infoblox研究发现，多家表面独立的广告技术公司实际与该犯罪网络紧密交织。整个体系犹如多头蛇怪：一个广告技术节点被斩断，立即会有新节点补位。11月13日曝光的瑞士-捷克广告公司Los Pollos便是典型代表——该企业不仅参与犯罪活动，更被俄罗斯虚假信息组织Doppelganger用于宣传操作。

Los Pollos的推送链接变现服务关停后，被劫持的WordPress网站立即更新重定向机制，以完全相同的方式将用户导向新广告技术平台Help TDS。调查显示，Help TDS并非新生系统，而是与VexTrio勾结多年的老牌犯罪渠道。GoDaddy研究团队曾指出，Help与此前发现的“一次性TDS”高度相似，两者均长期为VexTrio输送犯罪流量。

深层溯源揭露更多广告技术公司与VexTrio存在惊人共性：共享代码架构的Partners House、BroPush、RichAds等平台，其URL结构、核心文件均指向同一技术源头。尽管这些企业均存在俄罗斯关联且长期互相引流，但至今未发现明确的共同股权关系。

犯罪链条的商业模式

为何黑客不自建网络而依赖广告平台？关键在于精细化欺诈：恶意流量分发系统按“用户行为”向被劫持网站支付佣金——当受害者提交邮箱、信用卡等敏感信息时，犯罪收益便自动生成。

这些所谓“广告内容”实为诈骗陷阱：

1. 冠以“主流交友”、“抽奖活动”之名的加密货币骗局
2. 成人内容与恶意软件下载站
3. 通过欺诈性订阅推送通知实施持续诈骗

犯罪广告平台通常运营封闭的广告池，仅对特定恶意合作伙伴开放。

犯罪基础设施的双重布局

Infoblox通过分析450万次DNS查询，发现两套位于俄罗斯的独立控制服务器集群：

1. 使用差异化主机服务
2. 配置不同的重定向域名
3. 采用分离的URL结构
   共同点为最终均指向VexTrio犯罪网络。

追责困境与突破口

犯罪者身份仍隐匿于：

1. 通过Cloudflare等代理服务隐藏行踪
2. 利用防弹主机掩盖服务器位置
3. 刻意分割技术特征规避溯源

广告平台常以“无法管控恶意合作方”推诿责任，强调其仅充当发布商与广告主的中介。但安全团队指出：这些平台掌握着犯罪联盟的会员信息与交易数据，实为追踪犯罪者的关键突破口。能否配合执法提交证据，将成为检验其是否“被动涉罪”的试金石——毕竟它们清楚知晓，每天将多少无辜访客引向了全球诈骗犯的陷阱。

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；