Infoblox tehdidi Intel’deki güvenlik araştırmacıları, en azından 2017’den beri aktif olan yüksek vasıflı siber suçlu ağ olan Vextrio’nun karmaşık işleyişini ortaya koydu. Bu keşif, dijital ekonomide devam eden tehlikeleri vurgulamaktadır.
Eskiden basitçe Vextrio olarak bilinen bu grup, Viper olarak adlandırılan bu grup, küresel saldırıları düzenlemek için Gelişmiş Trafik Dağıtım Sistemleri (TDSS), benzeri alanlar ve kayıtlı alan üretim algoritmalarını (RDGA’lar) kullanıyor.
On yıl süren siber suç imparatorluğu
Bilinen en büyük siber suçlu satış ortağı programı aracılığıyla trafiği arayarak, Vextrio dünya çapında kullanıcılara kötü amaçlı yazılım, dolandırıcılık ve yasadışı içerik sunar ve bu da onu kurumsal ağlarda gözlemlenen en yaygın tehditlerden biri haline getirir.
DNS altyapısının usta manipülasyonları, genellikle tehlikeye atılan web sitelerine, Instagram ve Facebook gibi sosyal medya platformlarına ve hatta e -posta güvenlik araçlarına kötü niyetli akıllı bağlantıları yerleştirerek kesintisiz yeniden yönlendirme zincirlerini sağlar.
Bu TDS Trifecta sadece güvenlik analizinden kaçmak için iniş sayfalarını gizlemekle kalmaz, aynı zamanda kurbanları flört, kripto para birimi, çekilişler ve Nutra endüstrileri de dahil olmak üzere tescilli aldatmaca sektörlerine dönüştürür, burada vextrio’nun hem broker hem de içerik oluşturucu olarak kâr ettiği.
Vextrio’nun cephaneliğinin merkezinde, yıllarca hileli faaliyetlerde devam eden, kullanıcılara tarayıcı bildirim izinleri vermeye veya doğrulama kisvesi altında kişisel verileri ortaya çıkarmaya iten sahte captcha zorlukları gibi aldatıcı mekanizmalar var.
Genellikle kötü şöhretli robot görüntüleri içeren bu captchas, kalıcı erişim için ağ geçitleri olarak hizmet eder, spam ve aldatmaca teslimatı sağlar.
Aldatıcı taktikler
Grubun operasyonları, Google Play ve Apple App Store aracılığıyla dağıtılan kötü amaçlı mobil uygulamalara yayılır ve toplu olarak bir milyondan fazla indirme toplar.
Holacode, Locomind, Hugmi, Klover Group ve Alphascale Media, Hugmi, Cheri, WinkChat, Spam Shield ve Hızlı VPN Masquerade gibi, buluşma, spam engelleme ve sanal özel ağlar (VPN) için meşru araçlar olarak geliştirici takma adları altında.
Gerçekte, bu uygulamalar sürekli reklamlarla kullanıcıları bombardıman eder, kanserleri zor abonelikleri uygular ve eylem başına maliyet modelleri aracılığıyla e-posta adreslerini hasat eder.
Teknik analiz, Prag tabanlı TechInTrade ve OilMIMPex de dahil olmak üzere Vextrio’nun bağlı kuruluşlarıyla ortak kod tabanlarını ve barındırma örtüşmelerini ortaya koyuyor ve çekirdek grup ve ortakları arasındaki bulanık çizgiler hakkında sorular soruyor.
DNS kayıtları, bu uygulamaları AS5368’dekiler gibi Vextrio’nun özel IP aralıklarına bağlar ve Tinder, pornhub gibi markaları ihlal eden Scam araç setleri ve hatta Elon Musk ve Donald Trump gibi yüksek profilli figürler üzerinde kriptourrens sahtekarlık şemalarında kontrol eder.
Tehdidi birleştiren Vextrio, Sendgrid ve Mailgun gibi hizmetleri taklit eden, gönderen ilkesi çerçevesi (SPF) kayıtlarını kullanan ve mail.holaco.de gibi sunuculardan kütle dağıtımlarını yetkilendirmek için Gönderen Politika Çerçevesi (SPF) kayıtlarını kullanarak bir kısır spam-scam döngüsünü sürdürür.
DatingCell.com ve FidelityMail.com da dahil olmak üzere alan adları, hileli sitelerdeki kurban etkileşimlerinden kaynaklanan 220 milyondan fazla e-posta adresine erişime sahiptir ve güçlendirilmiş sosyal yardımlar için Ynot Mail gibi üçüncü taraf hizmetleri entegre eder.
Traffriq.com’dan izleme bağlantıları ile kişiselleştirilen spam e-postaları, kullanıcıları sahte flört portallarına veya yatırım dolandırıcılığını barındıran vextro-kontrollü açılış sayfalarına yönlendirin, genellikle AS5398’deki İsviçre veri merkezleri aracılığıyla çözülür.
Bu kendini güçlendiren bu döngü sadece bağlı komisyonları beslemekle kalmaz, aynı zamanda gelecekteki kampanyalar için veritabanlarını da genişletir.
Dijital sahtekarlığın ötesinde, Vextrio’nun temel figürleri, Bulgaristan’daki güneş enerjisi yatırımlarından ilgisiz mikro bileşenlere kadar çeşitli işletmelerle bağlantılıdır ve küresel operasyonlarının opak sınırlarını vurgulamaktadır.
13 Ağustos 2025 itibariyle, Vextrio’nun dayanıklılığının altını çizen endüstri raporlarına devam eden uyarlamalar, gelişmiş DNS tabanlı tehdit istihbaratı ve bu mega tehdidi azaltmak için uygulama mağazası çağırıyor.
AWS Security Services: 10-Point Executive Checklist - Download for Free