Традиционно цифровое подполье - трояны, распространители вредоносного ПО, фиктивные сайты знакомств - ассоциируется с тёмными углами интернета.Однако сегодня эти угрозы все чаще скрываются на виду, маскируясь под блестящий фасад массовой рекламы. Исследование показывает, что некоторые компании рекламных технологий либо соучаствуют, либо активно участвуют в распространении вредоносного контента. Речь не просто о злоупотреблении платформами - иногда киберпреступники сами являются рекламными платформами.
Описание
Одним из ключевых операторов стала группировка Vane Viper, зафиксированная примерно в половине клиентских сетей и ответственная за около 1 трлн DNS-запросов за последний год. Группировка использует сотни тысяч скомпрометированных сайтов и рекламных объявлений на платформах блогов, игр и онлайн-магазинов.
Корпоративные отчёты и данные WHOIS указывают на связь Vane Viper с кипрской холдинговой компанией AdTech Holding. Их флагманская дочерняя структура - рекламная сеть PropellerAds - действует как брокер трафика, перенаправляя пользователей через систему распределения трафика на вредоносные страницы. Хотя PropellerAds ранее уже связывали с malvertising-кампаниями, доказательства перехода от злоупотребления сервисом к соучастию требовали тщательной проверки.
Многочисленные доказательства демонстрируют, что PropellerAds не только закрывал глаза на преступное использование платформы, но и участвовал в мошеннических кампаниях. При этом стандартный ответ компании на обвинения исследователей сводился к обвинениям в "клевете" и отрицанию ответственности.
Сложная корпоративная структура AdTech Holding создаёт идеальные условия для отказа от ответственности. Предпочтительный регистратор Vane Viper - URL Solutions/Pananames - принадлежит CloudOne Digital, который также контролирует Webzilla и Servers.com. Инфраструктура Webzilla имеет противоречивую историю: её использовали для клик-фрода Methbot, российских дезинформационных сайтов Doppelgänger и пиратского гиганта 4shared.
Исследование выявило тесные связи с российским олигархом Алексом Фроловым, внесённым в санкционные списки Великобритании. Основатель XBT Holdings Алексей Губарев, чья инфраструктура используется PropellerAds, сотрудничает с Фроловым через кипрский техно-инкубатор TechIsland, где AdTech Holding является участником.
Vane Viper управляет примерно 60 000 доменов, представляющих лишь часть экосистемы. Системы распределения трафика позволяют перенаправлять пользователей на бесчисленное количество вредоносных страниц, остающихся необнаруженными. Ключевым механизмом является злоупотребление push-уведомлениями: приняв такое уведомление, устройство пользователя превращается в постоянный источник malvertising-угроз.
Анализ показывает, что большинство доменов Vane Viper активны менее месяца, однако некоторые ключевые домены push-уведомлений остаются активными более 1200 дней. Ежемесячно регистрируется до 3500 новых доменов, что демонстрирует масштабируемость и устойчивость операции.
Группировка использует TDS для распространения различных угроз: от вредоносных APK-файлов до фиктивных расширений браузера и поддельных страниц загрузки программ. Одна из кампаний, заканчивающаяся фиктивной загрузкой Opera Browser, использует сложную цепочку перенаправлений и технику "отравления истории браузера", которая эффективно блокирует пользователей на вредоносном сайте.
PropellerAds неоднократно связывали с крупными вредоносными кампаниями. Согласно отчёту Digital Citizens Alliance, домены PropellerAds генерировали около 31 миллиона долларов от вредоносной рекламы на пиратских сайтах. Компания также участвовала в ранних стадиях кампании Master134, которая эволюционировала в операцию "DollyWay World Domination".
Операция Vane Viper демонстрирует системную уязвимость цифровой рекламной экосистемы. Тесная связь между URL Solutions, Webzilla и AdTech Holding создаёт инфраструктуру, где массовая регистрация доменов через проблемный регистратор сочетается с хостингом на платформах, исторически связанных с киберпреступностью, и доставкой полезной нагрузки через рекламную сеть с противоречивой репутацией.
Vane Viper представляет собой не просто угрозу, скрывающуюся за рекламной платформой, а угрозу, которая сама является рекламной платформой. Их деятельность демонстрирует, насколько легко вооружить экосистему цифровой рекламы, изначально спроектированную для скорости, масштабируемости и прибыльности, а не для подотчётности пользователям. В этом смысле Vane Viper показывает, насколько интернет уже скомпрометирован рекламной моделью, ставящей охват аудитории выше ответственности, а монетизацию - выше доверия.
