Vextrio Viper Trafik Dağıtım Hizmetinin (TDS) arkasındaki tehdit aktörleri, yardım TDS ve tek kullanımlık TDS gibi diğer TDS hizmetleriyle bağlantılıdır, bu da sofistike siber suçlu operasyonunun, kötü niyetli içerik dağıtmak için tasarlanmış kendi kendine genişleyen bir işletme olduğunu gösterir.
Hacker News ile paylaşılan derin dalış raporunda, “Vextrio, akıllı bağlantılar ve itme bildirimleri de dahil olmak üzere farklı reklam formatları aracılığıyla dolandırıcılık ve zararlı yazılım dağıtan bir grup kötü niyetli adtech şirketidir.” Dedi.
Vextrio Viper yönetimindeki kötü niyetli Adtech şirketleri arasında Los Pollos, Taco Loco ve Adtraico bulunmaktadır. Bu şirketler, web sitelerini şüphesiz kullanıcılara ve hediye kartı sahtekarlığı, kötü niyetli uygulamalar, kimlik avı siteleri ve dolandırıcılık gibi çeşitli yasadışı şemalar sunan “reklam iştirakleri” olarak adlandırılan kötü amaçlı yazılım aktörlerini birleştiren ticari bir bağlı kuruluş ağı olarak adlandırılan şeyi işletiyor.
Farklı bir şekilde, bu kötü amaçlı trafik dağıtım sistemleri, bir akıllı bağlantı veya doğrudan teklif yoluyla kurbanları hedeflerine yönlendirmek için tasarlanmıştır. DNS Tehdit İstihbarat Firması’na göre Los Pollos, kötü amaçlı yazılım distribütörlerini (aka Publishing iştirakleri) yüksek ücretli teklifler vaatleriyle görevlendirirken, Taco Loco itme para kazanma konusunda uzmanlaşıyor ve reklam iştiraklerini işe alıyor.
Bu saldırıların bir diğer önemli bileşeni, yeniden yönlendirme zincirini başlatmaktan sorumlu kötü amaçlı kod enjekte etmek için WordPress web sitelerinin uzlaşmasıdır ve sonuçta ziyaretçileri Vextrio aldatmaca altyapısına götürür. Bu tür enjeksiyonlara örnek olarak Balada, Dollyway, Sign1 ve DNS TXT kayıt kampanyaları yer alır.
“Bu komut dosyaları, küresel ağlar arasında, küresel ağlar arasında kötü amaçlı yazılım ve dolandırıcılık sunmak için sofistike DNS tekniklerini, trafik dağıtım sistemlerini ve alan üretim algoritmalarından yararlanan bilinen en büyük siber suçlu satış ortağı ağlarından biri olan Trafik Broker ağları aracılığıyla çeşitli dolandırıcılık sayfalarına yönlendiriyor.”
Vextrio’nun operasyonları, Kur’an’ın İsviçre-Czech Adtech şirketi Los Pollos’un Vextrio’nun bir parçası olduğunu ve Los Pollos’un push bağlantısı para kazanmasını durdurmasına neden olduğunu ortaya koyduktan sonra Kasım 2024’te bir darbe yaşadı. Bu da bir göç tetikledi ve Los Pollos ağına büyük ölçüde güvenen tehdit aktörlerine yardım TDS ve tek kullanımlık TDS gibi yönlendirme hedeflerine geçmesine neden oldu.
 |
| İki bağımsız C2 setinden zaman içinde davranış değişiklikleri |
Infoblox’un altı aylık bir süre boyunca, güvenliği ihlal edilmiş web sitelerinden 4.5 milyon DNS TXT kayıt yanıtları analizi, DNS TXT kayıt kampanyalarının bir parçası olan alanların, her biri kendi komut ve kontrol (C2) sunucusuna sahip iki sette sınıflandırılabileceğini ortaya koydu.
Şirket, “Her iki sunucu da Rus bağlantılı altyapıda barındırıldı, ancak ne barındırmaları ne de TXT yanıtları üst üste binmedi.” Dedi. Diyerek şöyle devam etti: “Her ikisi de başlangıçta Vextrio’ya ve daha sonra yardım TDS’ye yol açmasına rağmen, her set farklı yönlendirme URL yapılarını korudu.”
Daha fazla kanıt, hem TDS hem de tek kullanımlık TDS’nin bir ve aynı olduğunu ve hizmetlerin Kasım 2024 yılına kadar vextrio alanlarına kadar trafiği tarihsel olarak yönlendiren bir “özel ilişkiden” sahip olduğunu ve o zamandan beri yayıncının web trafiğini reklamkârdan gelen trafiğe bağlamak için bir para kazanma platformu olan para kazanma platformu olan yardım TDS’nin “özel bir ilişkiden” sahip olduğunu ortaya çıkardı.
İnfoblox, “TDS’nin Rus kuruluşları aracılığıyla sık sık yapılan barındırma ve alan kaydı ile güçlü bir Rus bağlantısı var.” Dedi. Diyerek şöyle devam etti: “Vextrio TDSS’nin tam işlevselliğine sahip değil ve Vextrio ile ürkütücü bağlantılarının ötesinde belirgin bir ticari bağı yok.”
Vextrio, ticari Adtech firmaları olarak dışarı atılan birçok TDS’den biridir, diğerleri Ortaklar House, Bropush, Richads, Admeksing ve Rexpush. Bunların birçoğu, Push bildirimleri yoluyla bağlantıları kötü amaçlı içeriğe dağıtmak için Google Firebase Bulut Mesajlaşma (FCM) veya API tabanlı özel geliştirilmiş komut dosyalarını kullanarak PUSH bildirim hizmetlerine yöneliktir.
Şirket, “Her yıl dünya çapında yüz binlerce uzlaşmış web sitesi kurbanları Vextrio ve Vextrio-Afiş TDSS’nin karışık ağına yönlendiriyor.” Dedi.
“Vextrio ve diğer bağlı kuruluş reklam şirketleri, kötü amaçlı yazılım aktörlerinin kim olduğunu biliyorlar veya en azından bunları izlemek için yeterli bilgiye sahipler. Şirketlerin çoğu, bir dereceye kadar ‘müşterinizi tanıyın’ (KYC) gerektiren ülkelere kayıtlıdır, ancak bu gereksinimler olmadan bile yayın iştirakleri müşteri yöneticileri tarafından incelenir.”