Исследователи кибербезопасности раскрыли тревожные связи между хакерами, эксплуатирующими уязвимости WordPress, и рекламными сетями, такими как VexTrio. Последние данные показывают, что злоумышленники используют сложную инфраструктуру для перенаправления жертв на вредоносные сайты, а рекламные платформы не только знают об этом, но и получают прибыль.
Описание
В ноябре 2024 года исследователи Qurium обнаружили, что швейцарско-чешская рекламная компания Los Pollos является частью VexTrio - крупнейшей известной системы распределения трафика (TDS), используемой для распространения вредоносного контента. После публикации этих данных Los Pollos заявила о прекращении работы с push-уведомлениями, но это не остановило злоумышленников. Вместо этого они массово переключились на другую TDS под названием Help, которая, как выяснилось, годами была связана с VexTrio.
Анализ миллионов DNS-запросов показал, что хакеры WordPress, включая группировки DollyWay и Balada, перенаправляли жертв через одни и те же рекламные сети. Более того, исследователи обнаружили, что Help TDS, Disposable TDS и другие системы используют общие скрипты, изображения и структуры URL, что указывает на их тесную связь с VexTrio.
Особую тревогу вызывает тот факт, что рекламные сети, такие как Los Pollos, Partners House и RichAds, владеют персональными данными аффилированных лиц, включая хакеров. Эти компании требуют верификации перед допуском в сеть и хранят информацию о платежах, что теоретически позволяет идентифицировать злоумышленников. Однако пока нет свидетельств того, что они готовы сотрудничать с правоохранительными органами.
Эксперты предупреждают: использование коммерческих рекламных сетей может стать ахиллесовой пятой для хакеров. Если компании начнут раскрывать данные аффилированных лиц, это нанесет серьезный удар по киберпреступным группировкам. Пока же миллионы скомпрометированных сайтов продолжают перенаправлять пользователей в руки мошенников, а рекламные сети получают свою долю прибыли.
Индикаторы компрометации
Domains
- 0.blueskyactivecontrol.com
- 0.mo10.biz
- 0.robotverifier.com
- 0.se11.biz
- 0.strongblackspaces.com
- 0.to6s.biz
- 01afa41bf2.news-xceyuna.live
- 01be885d26.hotbwixife.today
- 0605ee9ae7.hotbfocuhe.cc
- 06254a045e.news-xkijeki.store
- 19a1.brpconnecta.digital
- 1azo7.iqfmvj.com
- 209c.brpteamwork.cc
- 2765516796.news-xdujuwe.xyz
- 2rt.xcumpw.com
- 2zhyl.iqfmvj.com
- 3ic.ymehtq.com
- 43ff.rpstreamfx.xyz
- 5435.rpknowledge.xyz
- 6.enlala.com
- 6.lands.ninja
- 7r6.fmqrsj.com
- 9c3e1.rpdiscover.xyz
- c62a.rpbuildhub.xyz
- d3l.wstbaw.com
- fe12.brpdataboxx.today
- gzeao.cavernexplorer.com
- gzeao.check-tl-ver-116-3.com
- gzeao.check-tl-ver-154-2.com
- mvgde.runesmith.top
- mvgde.runicartisan.top
- mvgde.sec-tl-129-b.buzz
- mvgde.sec-tl-129-d.buzz
- mvgde.stonecoremason.com
