Gli attori della minaccia dietro il Vextrio Viper Il servizio di distribuzione del traffico (TDS) è stato collegato advert altri servizi TDS come Assist TDS e TDS usa e getta, indicando che il sofisticato funzionamento criminale informatico è un’impresa tentacolare che è progettata per distribuire contenuti dannosi.
“Vextrio è un gruppo di aziende adtech dannose che distribuiscono truffe e software program dannosi tramite various formati di pubblicità, tra cui SmartLink e notifiche push”, InfoBlox disse In un rapporto di immersione in profondità condivisa con le notizie di Hacker.
Alcune delle società di adtech dannose sotto Vextrio Viper includono Los Polos, Taco Loco e Adtrafica. Queste aziende gestiscono quella che viene chiamata una rete di affiliati commerciali che collega attori malware i cui siti Net ignari gli utenti atterrano e i cosiddetti “affiliati pubblicitari” che offrono varie forme di schemi illeciti come frode delle carte regalo, app dannose, siti di phishing e truffe.
Innanziosamente, questi sistemi di distribuzione del traffico dannosi lo sono progettato per reindirizzare le vittime alle loro destinazioni attraverso un’offerta SmartLink o diretta. Los Polos, secondo la società di intelligence delle minacce DNS, arruola distributori di malware (noto anche come affiliati editoriali) con promesse di offerte di alto livello, mentre Taco Loco è specializzato in monetizzazione push e recluta affiliate pubblicitarie.
Un altro componente notevole di questi attacchi è il compromesso dei siti Net di WordPress per iniettare un codice dannoso che è responsabile dell’avvio della catena di reindirizzamento, portando alla high-quality i visitatori dell’infrastruttura di truffa Vextrio. Esempi di tali iniezioni includono Balada, Dollyway, Sign1E DNS TXT File Campaigns.
“Questi script reindirizzano i visitatori del sito a varie pagine di truffa attraverso reti di dealer di traffico associati a Vextrio, una delle più grandi reti di affiliazione criminali criminali noti che sfruttano sofisticate tecniche DNS, sistemi di distribuzione del traffico e algoritmi di generazione di domini notato In un rapporto pubblicato nel marzo 2025.
Le operazioni di Vextrio hanno subito un colpo intorno a metà novembre 2024 dopo il Qurium rivelato Che la società Swiss-Czech Adtech Los Pollos facesse parte di Vextrio, facendo cessare la monetizzazione di Los Pollos. Ciò, a sua volta, ha innescato un esodo, causando attori delle minacce che si basavano fortemente sulla rete Los Pollos per spostarsi verso destinazioni di reindirizzamento different come TDS e TDS usa e getta.
 |
| Cambiamenti nel comportamento nel tempo dai due set C2 indipendenti |
L’analisi di InfoBlox di 4,5 milioni di risposte ai registri TXT DNS da siti Net compromessi in un periodo di sei mesi ha rivelato che i domini che facevano parte delle campagne di registrazione DNS TXT potrebbero essere classificati in due set, ciascuno con il proprio server distinto di comando e controllo (C2).
“Entrambi i server sono stati ospitati in infrastrutture connesse alla Russia, ma né la loro internet hosting né le loro risposte TXT si sono sovrapposte”, ha affermato la società. “Ogni set ha mantenuto various strutture URL di reindirizzamento, anche se entrambi hanno portato entrambi a Vextrio e successivamente all’aiuto TDS.”
Ulteriori show hanno scoperto che sia i TDS che i TD usa e getta sono la stessa cosa e che i servizi hanno goduto di una “relazione esclusiva” con Vextrio fino a novembre 2024. Aiutare i TDS, che storicamente ha reindirizzato il traffico verso i domini Vextrio, si è trasferito a Monetizer, una piattaforma di monetizzazione che utilizza la tecnologia TDS per collegare il traffico internet degli affiliati di Publishing agli inserzionisti.
“L’aiuto TDS ha un forte nesso russo, con l’internet hosting e la registrazione del dominio frequentemente eseguite tramite entità russe”, ha affermato Infoblox, descrivendo gli operatori come possibilmente indipendenti. “Non ha la funzionalità completa dei TDSS Vextrio e non ha ovvie legami commerciali oltre le sue inquietanti connessioni con Vextrio.”
Vextrio è uno dei tanti TDS che sono stati emessi come aziende commerciali Adtech, gli altri sono Companions Home, Bropush, Richads, Admeking e Rexpush. Molti di questi sono orientati ai servizi di notifica push utilizzando Google Firebase Cloud Messaging (FCM) o script personalizzati basati su API per distribuire collegamenti a contenuti dannosi tramite notifiche push.
“Centinaia di migliaia di siti Net compromessi in tutto il mondo ogni anno reindirizzano le vittime alla rete aggrovigliata di Vextrio e TDSS a affiliazione di Vextrio”, ha affermato la società.
“Vextrio e le altre società pubblicitarie affiliate sanno chi sono gli attori del malware, o almeno hanno informazioni sufficienti per rintracciarli. Molte aziende sono registrate in paesi che richiedono un certo grado di” conoscere il tuo cliente “(KYC), ma anche senza questi requisiti, la pubblicazione degli affiliati sono vettati dai loro clienti.”
