Vane Viper 为恶意软件与广告欺诈提供支持

名为 Vane Viper 的威胁行为者近日被揭露为恶意广告技术（adtech）的提供者，其背后依靠错综复杂的空壳公司与不透明的所有权结构来规避责任。

“Vane Viper 至少十年来一直为大规模恶意广告投放、广告欺诈以及网络威胁的传播提供核心基础设施。”Infoblox 在上周与 Guardio 和 Confiant 联合发布的技术报告中表示。

“Vane Viper 不仅为木马投放者和钓鱼者提供流量中介，还似乎运营着自己的广告欺诈活动，这与此前记录的欺诈手法高度一致。”

一、背景与溯源

Vane Viper 也被称为 Omnatuor。早在 2022 年 8 月，DNS 威胁情报公司就曾披露这一恶意广告网络，称其与 VexTrio Viper 类似，利用存在漏洞的 WordPress 网站构建庞大的受控域名网络，以此传播风险软件、间谍软件和广告软件。

该组织的一项显著持久性技术是 滥用推送通知权限，即便用户已离开最初访问的页面，仍能通过修改浏览器设置持续推送广告。这一方法依赖于 service workers，它们会保持一个持久的无头浏览器进程，以监听事件并推送不受欢迎的通知。

去年年底，Guardio Labs 披露了一项名为 DeceptionAds 的攻击活动，发现其利用 Vane Viper 的恶意广告网络来推动 ClickFix 式的社会工程攻击。该活动被归因于一家名为 Monetag 的公司，而据 Infoblox 称，Monetag 是 PropellerAds 的子公司，而 PropellerAds 又隶属于总部位于塞浦路斯的 AdTech Holding 控股公司。

与 PropellerAds 相关的域名长期以来因助长恶意广告投放、引流至漏洞利用工具包或其他欺诈网站而被标记。进一步分析还发现，一些广告欺诈活动的基础设施源自 PropellerAds。

二、庞大的基础设施与规模

网络安全公司表示，过去一年内，Vane Viper 在约一半客户网络中触发了 约 1 万亿次 DNS 查询。该组织利用数十万受控网站和恶意广告，将毫无防备的用户重定向至：恶意浏览器扩展、虚假购物网站、色情内容、调查问卷诈骗、假冒应用、可疑软件下载、恶意软件（包括 Android 恶意软件 Triada）。

此外，Vane Viper 似乎与 URL Solutions（又名 Pananames）、Webzilla 和 XBT Holdings 共用基础设施和人员。值得注意的是，URL Solutions 还与俄罗斯影响力行动 Doppelgänger 搭建的虚假信息网站有关。AdTech Holding 旗下的其他公司还包括 ProPushMe、Zeydoo、Notix 和 Adex。

据估算，约 6 万个域名 属于 Vane Viper 的基础设施，大多数活跃时间不足一个月。但也有少数域名已持续活跃超过 1200 天，其中包括最初的 omnatuor[.]com、propeller-tracking[.]com，以及一些围绕推送通知服务的域名。

该组织每月都会注册大量新域名。仅在 2024 年 10 月，注册域名数就高达 3500 个，而在 2023 年 4 月还不到 500 个。据统计，自 2023 年以来，Vane Viper 的域名占 URL Solutions 批量注册域名的近 50%。

三、官方回应与风险

PropellerAds 此前否认存在任何不当行为，声称自己只是一个“自动化的中介，帮助广告商寻找合适的发布者投放广告”，并且“并不支持、纵容或鼓励网络上的恶意广告”。

然而，Infoblox 指出：“Vane Viper 不只是一个隐藏在广告技术平台背后的威胁行为者，它本身就是作为广告技术平台运作的威胁行为者。AdTech Holding 声称为广告商提供规模化的覆盖与变现，但其实际交付的却是风险”，“Vane Viper 借助作为广告网络的合理否认，隐藏自身身份，同时利用其 TDS（流量分发系统） 投放多种威胁”。

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；