Geçen yılın sonlarında, güvenlik araştırmacıları şaşırtıcı bir keşif yaptılar: Kremlin destekli dezenformasyon kampanyaları, çevrimiçi hucksters ve web sitesi hackerlarının genişleyen bir ekosistemini güçlendiren aynı kötü amaçlı reklam teknolojisinden yararlanarak sosyal medya platformlarında ılımlılığı atlıyorlardı. Bu soruşturmanın serpintisi ile ilgili yeni bir rapor, bu karanlık reklam teknoloji endüstrisinin daha önce bilinenden çok daha dayanıklı ve ensest olduğunu buluyor.
Resim: Infoblox.
Kasım 2024’te güvenlik firmasındaki araştırmacılar Kurgu Rus yanlısı anlatıları teşvik eden ve klonlanmış bir web sitesi ağı aracılığıyla sahte haberleri zorlayarak Avrupa’nın medya ortamına sızan bir dezenformasyon ağı olan “Doppelganger” hakkında bir soruşturma yayınladı.
Doppelganger kampanyaları, sahte haber içeriği sunulmadan önce ziyaretçinin tarayıcısını uzun bir dizi alan aracılığıyla zıplayan özel bağlantılar kullanır. Kur’an, Doppelganger’ın web sitelerinin düzenli ziyaretçilerin gördüklerine kıyasla arama motorlarına farklı içerikler sunmasına izin veren bir teknoloji olan sofistike bir “etki alanı gizleme” hizmetine dayandığını buldu. Gizleme hizmetlerinin kullanımı, dezenformasyon sitelerinin, yalnızca hedeflenen kitlenin amaçlanan içeriği görüntülemesini sağlarken, aksi takdirde olduğundan daha uzun süre çevrimiçi kalmasına yardımcı olur.
Kur’an, Doppelganger’ın gizleme hizmetinin çevrimiçi tanışma sitelerini de tanıttığını ve aynı altyapının çoğunu ile paylaştığını keşfetti. Vextriovar olan en eski kötü amaçlı trafik dağıtım sistemi (TDS) olduğu düşünülmektedir. TDS’ler, farklı reklam ağları tarafından farklı kaynaklardan gelen trafiği yönetmek ve her tıklamanın arkasında kimin veya ne olduğunu izlemek için yaygın olarak kullanılırken, Vextrio’nun TDS’sini büyük ölçüde kimlik avı, kötü amaçlı yazılım ve sosyal mühendislik dolandırıcılığı kurbanlarından web trafiğini yönetir.
KÖTÜ KIRMA
Daha derine inen Kur’an, Doppelganger’ın gizleme hizmetinin İsviçre’de bir internet sağlayıcısını bir alan yönlendirme zincirinin ilk giriş noktası olarak kullandığını fark etti. Ayrıca aynı altyapı, kabataslak yetişkin tanışma sitelerine trafiği yönlendiren bir çift ortak markalı bağlı kuruluş pazarlama hizmetine ev sahipliği yaptığını fark ettiler: Anketler[.]com Ve Tacoloko[.]ortak.
LOSPOLLOS AD ağı, şiddetli bir metamfetamin karteli için kara para aklama operasyonu olarak hizmet veren kurgusal “Los Pollos Hermanos” restoran zincirini yansıtan hit HBO serisi “Breaking Bad” dan birçok unsur ve referans içerir.
LOSPOLLOS Reklam Ağı, Breaking Bad hit şovundan karakterleri ve temaları çağırıyor. LOSPOLOS (sol üst) için logo, şovdaki kurgusal tavuk restoran zinciri sahibi Gustavo Fring’in görüntüsüdür.
Lospollos’a kaydolan iştiraklere JavaScript-Heavy verilir ”akıllı”Trafiği vextrio TDS’ye yönlendiren, bu da trafiği randevu hizmetleri, çekiliş teklifleri, yem ve anahtar mobil uygulamaları, finansal dolandırıcılık ve kötü amaçlı yazılım indirme siteleri de dahil olmak üzere çeşitli reklam ortakları arasında dağıtır.
LOSPOLLOS iştirakleri genellikle bu akıllı bağlantıları dikiyor WordPress Bilinen güvenlik açıkları aracılığıyla hacklenen web siteleri ve bu bağlı kuruluşlar, saldırıya uğramış sitelerinden herhangi biri tarafından atıfta bulunulan bir internet kullanıcısı bu yemlerden biri için her düştüğünde küçük bir komisyon kazanacaktır.
LinkedIn’de kendini tanıtan LOS Pollos Reklam Ağı.
Kur’an’a göre, Tacoloco, web sitelerinin tarayıcının dışında görünen açılır mesajlar göstermesine izin veren pllatformlar arası bir tarayıcı standardı olan İnternet kullanıcılarını “Push Bildirimleri” ni etkinleştirmek için aldatıcı taktikler kullanan bir trafik para kazanma ağıdır. Örneğin, Microsoft Windows sistemlerinde bu bildirimler genellikle ekranın sağ alt köşesinde – sistem saatinin hemen üzerinde ortaya çıkar.
Vextrio ve Tacoloco durumunda, bildirim onay talepleri kendileri aldatıcıdır – otomatik bot trafiğini gerçek ziyaretçilerden ayırmak için tasarlanmış “captcha” zorlukları olarak gizlenmiştir. Vextrio ve ortakları yıllarca, sayısız kullanıcıyı bu site bildirimlerini etkinleştirmek için başarıyla kandırdılar, bunlar daha sonra kurbanın cihazını çeşitli sahte virüs uyarıları ve yanıltıcı pop-up mesajları ile sürekli olarak biberlemek için kullanıldı.
Kullanıcıların cihazlarındaki push bildirimlerini kabul etmesine yol açan Vextrio açılış sayfalarına örnekler.
Aralık 2024 yıllık raporuna göre Godaddy– 2024’te tehlikeye atılan web sitelerinin yaklaşık yüzde 40’ı, Lospollos SmartLinks aracılığıyla Vextrio’ya ziyaretçileri yönlendirdi.
ADSPRO ve Teknoloji
14 Kasım 2024’te Kur’an, Lospollos ve Tacoloco’nun işletilen hizmetler olduğu bulgularını desteklemek için araştırmalar yayınladı. ADSPRO GrubuÇek Cumhuriyeti ve Rusya’da kayıtlı bir şirket ve ADSPRO, İsviçre barındırma sağlayıcılarında altyapısını yürütüyor C41 Ve Teknoloji.
Kur’an, Lospollos ve Tacoloco sitelerinin içeriğinin telif hakkıyla korunduğunu belirtti. Bytecore AG Ve Skyforge Digital AgTeknology SA’nın sahibi tarafından işletilen her iki İsviçre firması, Guilio Vitorio Leonardo Cerutti. Daha fazla araştırma, Lospollos ve Tacoloco’nun bir şirket tarafından geliştirilen uygulamalar olduğunu ortaya koydu. HolakodCerutti’yi CEO olarak listeleyen.
Holacode tarafından pazarlanan uygulamalar arasında çok sayıda VPN hizmeti ve Spamshield Bu istenmeyen itme bildirimlerini durdurduğunu iddia ediyor. Ancak Ocak ayında Infoblox, uygulamayı kendi mobil cihazlarında test ettiklerini ve aslında kullanıcının cihazını sinir bozucu bildirimlerle su altında bıraktığını ve daha sonra durdurmak için bir ücret ödediğini buldu. Spamshield daha sonra geliştirici adını Holacode’dan değiştirdi. AplabzInfoblox, yeniden markalanan APLabz uygulamalarının birçoğunun hizmet şartlarının hala Hizmet Şartları’nda holacode atıfta bulunduğunu belirtti.
İnanılmaz bir şekilde, Cerutti, adını bile söylemeden veya ona bir yorum talebi göndermeden önce beni hakaret için dava etmekle tehdit etti (Cerutti, şirketi ve benim adımın sadece LinkedIn’deki Vextrio hakkındaki bir Infoblox postasında etiketlendikten sonra istenmeyen yasal tehdidi geri gönderdi).
Kur’an ve Infoblox’un bulguları hakkında yorum yapması istenen Cerutti, Vextrio ile ilişkili olmasını şiddetle reddetti. Cerutti, şirketlerinin işlettikleri ülkelerin düzenlemelerine kesinlikle bağlı kaldıklarını ve tüm operasyonları hakkında tamamen şeffaf olduklarını iddia etti.
Cerutti, “Satış ortağı ağ programı ile reklam ve pazarlama alanında faaliyet gösteren bir grupuz” dedi. “Ben değilim [going] Mükemmel olduğumuzu söylemek için, ama Vextrio ile hiçbir bağlantımız olmadığını şiddetle ilan ediyorum. ”
Cerutti, “Ne yazık ki, bu alanda büyük bir oyuncu olarak, birçok yayıncı sahtekarlığı, kabataslak trafik, sahte tıklamalar, botlar, hacklenen, listelenen ve yeniden satılan yayıncı hesapları vb. “Kötü trafik kaynaklarını ortadan kaldırmak için sürekli bir savaşta bu tür yanlış uygulama ve düzenli iç taramalar ve denetimler yürüttük. Aynı zamanda, bazı upstartların bizim gibi daha yerleşik ana oyunculara karşı genellikle kirli oynayacağı oldukça rekabetçi bir alandır.”
Kur’ -quurium ile çalışan, güvenlik firmasındaki araştırmacılar İnfoblox Vextrio’nun endüstri ortaklarına altyapısı hakkında detaylar yayınladı. Kur’an’ın bulgularını yayınladıktan sadece dört gün sonra Lospollos, itme para kazanma hizmetini askıya aldığını açıkladı. Bir aydan kısa bir süre sonra, ADSPRO yeniden markalaşmıştı Hedeflenen küresel.
Infoblox ve Kur’ -Kur’ân araştırmalarındaki bazı temel bulguları ve bağlantıları gösteren bir zihin haritası. Büyütmek için tıklayın.
Açıklayıcı bir pivot
Mart 2025’te Godaddy’deki araştırmacılar nasıl Dollyway – Mağdurları sekiz yıllık faaliyet boyunca sürekli olarak Vextrio’ya yönlendiren bir kötü amaçlı yazılım zorluğu – 20 Kasım 2024’te bunu yapmayı durdurdu. Neredeyse bir gecede, Dollyway ve daha önce kullanan diğer kötü amaçlı yazılım aileleri, trafiğini daha önce kullanan başka bir TD’den itmeye başladı. Yardım TDS.
Tarihi DNS kayıtlarına ve Yardım TDS tarafından kullanılan benzersiz kod komut dosyalarına daha fazla kazı yaparak Infoblox, Vextrio ile özel bir ilişki kurduğunu belirledi (en azından Lospollos Kasım ayında itme para kazanma hizmetini sona erdirene kadar).
Bugün yayınlanan bir raporda Infoblox, JavaScript kodunun kapsamlı bir analizinin, Web sitesi cazibesi, akıllı bağlantılar ve DNS modellerinin Vextrio tarafından kullanılan ve TDS’nin bunları en az dört diğer TDS operatörüyle (Tacoloco sayma) bağladığını söyledi. Bu dört varlık – Ortaklar evi– Bropush– Richads Ve Yeniden düzenlemek -Tüm Rusya merkezli, çeşitli planlar için kayıt yapmak için bağlı kuruluşlara ödeme yapan, ancak çoğunlukla çevrimiçi flört hizmetleridir.
Infoblox raporunda, “Los Pollos’un itme parasallığı sona erdiğinde, sahte captchas’ta, özellikle Partners House’dan, kullanıcının push bildirimlerini kabul etmesini sağlayan bir artış gördük” diyor. “Bu ticari varlıkların ilişkisi bir gizem olmaya devam ediyor; kesinlikle uzun zamandır ortaklar olsa da, birbirlerine trafiği yeniden yönlendirirken ve hepsinin bir Rus bağlantısı var, açık bir ortak mülkiyet yok.”
Renee BurtonInfoblox’taki Tehdit İstihbarat Başkan Yardımcısı, güvenlik endüstrisinin genellikle Vextrio ve diğer kötü amaçlı TDSS tarafından kullanılan aldatıcı yöntemleri, çoğunlukla reklam yazılımı ve scareware gibi daha az tehlikeli güvenlik tehditleriyle ilişkili bir tür yasal gri alan olarak ele aldığını söyledi.
Ancak Burton, bu görüşün miyop olduğunu savunuyor ve her yıl dünya çapında yüz binlerce uzlaşmış web sitesinin kurbanları Vextrio ve Vextrio-bağlı TDS’lere yönlendirdiğini belirterek, çok sayıda düz kötü amaçlı yazılım zorlayan karanlık bir Adtech endüstrisini sürdürmeye yardımcı oluyor.
Burton, “Bu TDS’ler hain bir tehdittir, çünkü onlar, tüketicilere yılda milyarlarca dolara mal olan bilgi samançıları ve dolandırıcılık gibi şeylerin teslimatına bağlanabileceğinizdir” dedi. “Daha büyük bir stratejik perspektiften bakıldığında, paketim, Rus organize suçun kötü niyetli Adtech’i kontrol etmesi ve bunların dahil olan birçok gruptan sadece birkaçı.”
Ne yapabilirsin?
Krebsonsecurity 2020’de geri döndüğü için, web’e göz atarken bildirimleri onaylamada çok kaçmak iyi bir fikir. Birçok durumda bu bildirimler iyi huyludur, ancak gördüğümüz gibi, site sahiplerine bildirim komut dosyalarını yüklemek için ödeme yapan ve daha sonra bu iletişim yolunu dolandırıcılara ve çevrimiçi hucksters’a yeniden satan çok sayıda tehlikeli firma vardır.
Sitelerin bildirim taleplerini sunmasını önlemek istiyorsanız, tüm büyük tarayıcı üreticileri bunu yapmanıza izin verir-tahtada veya ağ başına bazda. Bildirimleri engellemenin bazı web sitelerinin işlevselliğini tamamen bozabileceği doğru olsa da, bunu daha az teknoloji meraklısı arkadaşlarınız veya aile üyeleriniz adına yönettiğiniz herhangi bir cihaz için yapmak, herkese yolda çok fazla baş ağrısı kurtarabilir.
Site Bildirim Ayarlarını değiştirmek için Mozilla FirefoxAyarlar, Gizlilik ve Güvenlik, İzinler’e gidin ve “Bildirimler” in yanındaki “Ayarlar” sekmesini tıklayın. Bu sayfa zaten izin verilen bildirimleri görüntüler ve girişleri düzenlemenize veya silmenize izin verir. “Bildirimlere izin vermeyi isteyen yeni istekleri engelleyin” in yanındaki kutuyu tamamen durdurun.
İçinde Google Chromeadres çubuğunun sağındaki üç nokta bulunan simgeyi tıklayın, ayarlara, gizlilik ve güvenlik, site ayarlarına ve bildirimlere kadar kaydırın. Bildirim isteklerini sonsuza dek yasaklamak istiyorsanız “Sitelerin Bildirim Göndermesine İzin Ver” düğmesini seçin.
Apple’s Safari Tarayıcı, ayarlar, web siteleri ve kenar çubuğundaki bildirimleri tıklayın. Bildirim isteklerini tamamen kapatmak istiyorsanız, “Web Sitelerinin Bildirimler Gönderme İzni İstemesine İzin Verme” seçeneğini işaretleyin.
