Infoblox tehdidi Intel tarafından yapılan yeni araştırmalar, Vextrio gibi büyük siber suç grupları ile Los Pollos, Partners House, Bropush ve Richads gibi meşru adtech firmaları arasında gizli bir ittifak ortaya koyuyor. Dollyway, değiştirilmiş operasyonlar, paylaşılan altyapı ve taktikleri ortaya çıkarma da dahil olmak üzere kötü amaçlı yazılımların nasıl keşfedin.
Infoblox tehdidi Intel, iki siber suç grubu arasında vextrio ve görünüşte meşru adtech şirketleri arasında gizli bir ittifak ortaya koydu. Bu keşif, Vextrio’yu bozduktan sonra geldi ve birçok kötü amaçlı yazılım grubunun daha önce gizli bir sağlayıcıya geçmesine neden oldu.
Soruşturma, Vextrio’nun trafik dağıtım sistemini (TDS) bozarak başladı. TDS, web sitesi ziyaretçilerini içeriğe yönlendiren dijital trafik kontrolörü gibi davranır. Bununla birlikte, kötü niyetli bir TDS, kullanıcıları genellikle “gizlenerek” veya gerçek doğasını gizleyerek kötü amaçlı yazılım veya dolandırıcılık ile zararlı sitelere gönderir. Vextrio TDS rahatsız olduğunda, kötü amaçlı yazılım aktörleri beklenmedik bir şekilde yeni bir TDS gibi görünen şeye taşındı, ancak aynıydı.
13 Kasım 2024’te Kur’ân araştırmacıları, İsviçre-Czech Adtech şirketi Los Pollos’un Vextrio’nun bir parçası olduğunu açıkladı. Bu, Rusya’nın Doppelganger grubunun Los Pollos’un “SmartLinks” i kullandığında keşfedildi (kötü amaçlı yazılım operatörleri, kötü niyetli bir ADTech TDS’ye trafik göndermek için kullandıkları ve insanları sahte uygulamalara veya dolandırıcılıklara yönlendirdi). Daha sonra Infoblox ve Kur’ -qurium, diğer güvenlik gruplarıyla bilgi paylaşarak işbirliği yaptı.
Domino etkisi ve yeni bir oyuncu
17 Kasım’da Los Pollos, push bağlantısı para kazanmayı durdurdu ve saldırıya uğramış web sitelerinde derhal değişikliklere neden oldu. 20 Kasım 2024’e kadar, daha önce Vextrio’yu kullanan ve sekiz yıldır WordPress güvenlik açıklarından yararlanan Dollyway gibi kötü amaçlı yazılımlar yardım TDS’ye geçti.
Godaddy tarafından tanımlandığı gibi Balada ve Sign1 dahil olmak üzere diğer büyük kötü amaçlı yazılım kampanyaları da değişti veya durdurdu. Godaddy’nin 2024 raporu, tehlikeye atılan sitelerin neredeyse% 40’ının ziyaretçileri Vextrio üzerinden Los Pollos aracılığıyla yönlendirdiğini gösterdi.
Daha fazla kontrol, teyit edilen yardım TDS’nin yeni olmadığını, ancak yıllarca Vextrio’ya bağlanmıştı. Araştırmacılar, yardım TDS ve tek kullanımlık TDS’nin aynı olduğunu ve Kasım 2024’e kadar Vextrio ile özel bir ilişki paylaştığını buldular.
4.5 milyon DNS TXT kayıt yanıtlarının analizi, TDS’ye yardımcı olmak için DNS TXT kayıtları (C2) kullanılarak kötü amaçlı yazılım gösterdi. Bu C2 sunucuları, farklı kurulumlara rağmen, hepsi değişiklikten önce Vextrio’ya ve ardından TDS’ye yardım etmeye yol açtı.
Gizli bağlantılar
Araştırma, birçok TDSS paylaşılan yazılım ve web adres kalıpları vextrio ile ortak bir köken önerdi. Yardım TDS sahibi bilinmiyor olsa da, ortaklar House, Bropush ve Richads gibi ticari ADTech şirketleri, ortak sahiplik bulunmamış olsa da, birçoğu Rus bağları olan ortak TDSS’yi işletiyor.
Kötü amaçlı yazılım operatörlerinin ticari ADTech’e güvenmesi, bu şirketler suçluları tanımlayabilecek kişisel ve ödeme bilgilerine sahip oldukları için çöküşleri olabilir. Vextrio tarafından paylaşılan kod, hile görüntüleri ve web adres modellerinin tutarlı kullanımı, yardım ve tek kullanımlık TDSS ve kullanıcı navigasyonunu engelleyen spesifik JavaScript, derin koordineli bir işlemi işaret eder.
Vextrio, Partners House ve Richads dahil olmak üzere altı TDS, kullanıcıları kötü niyetli itme bildirimlerine izin vermek için kandırmak için genellikle basitçe “1.png”, “2.png” olarak adlandırılan özdeş cazibe görüntüleri kullanır. Push reklamcılığı konusunda uzmanlaşmış büyük kamu bağlı kuruluş ağları tarafından işletilen bu ağlar, paylaşılan altyapı önererek PowerDN’leri de kullanıyor.
Bu bulgular, siber suç sofistiklığının arttığını göstererek meşru ve kötü niyetli operasyonlar arasında ayrım yapmayı zorlaştırıyor. Bununla birlikte, güvenlik firmaları arasındaki sürekli araştırma ve işbirliği, çevrimiçi kullanıcıları bu tür dolandırıcılıklardan korumak için önemli olabilir.