Новые данные исследований в области кибербезопасности вскрыли тревожные связи между хакерскими группировками, эксплуатирующими уязвимости WordPress, и коммерческими рекламными сетями, включая печально известную VexTrio. Оказалось, что злоумышленники не просто используют сложные схемы перенаправления трафика на вредоносные ресурсы, но и получают косвенную поддержку со стороны рекламных платформ, которые осведомлены о происходящем и продолжают зарабатывать на этом.
Описание
В ноябре 2024 года организация Qurium обнародовала информацию о том, что швейцарско-чешская рекламная компания Los Pollos является частью инфраструктуры VexTrio - крупнейшей известной системы распределения трафика (TDS), активно используемой киберпреступниками для распространения вредоносного ПО, фишинга и других атак. После публикации отчета Los Pollos заявила о прекращении работы с push-уведомлениями, однако это не остановило хакеров. Вместо этого они оперативно переключились на другую TDS под названием Help, которая, как выяснилось, годами была связана с VexTrio, что подтверждает устойчивость и адаптивность преступных схем.
Анализ миллионов DNS-запросов показал, что хакерские группировки, такие как DollyWay и Balada, перенаправляют трафик с зараженных сайтов WordPress через одни и те же рекламные сети. Более того, исследователи обнаружили, что Help TDS, Disposable TDS и другие платформы используют идентичные скрипты, изображения и структуры URL, что явно указывает на их тесную взаимосвязь с VexTrio. Это свидетельствует о том, что преступники создают сложную многоуровневую инфраструктуру, позволяющую им оставаться в тени, в то время как рекламные сети продолжают получать прибыль от их деятельности.
Особую озабоченность вызывает тот факт, что рекламные сети, включая Los Pollos, Partners House и RichAds, владеют персональными данными аффилированных лиц, среди которых могут быть и сами хакеры. Эти компании требуют верификации перед допуском в сеть и хранят информацию о платежах, что теоретически позволяет идентифицировать злоумышленников. Однако на данный момент нет никаких свидетельств того, что они готовы сотрудничать с правоохранительными органами или предпринимать активные меры для пресечения преступной деятельности.
Эксперты в области кибербезопасности отмечают, что коммерческие рекламные сети могут стать слабым звеном для хакеров, если под давлением регуляторов начнут раскрывать данные аффилированных лиц. Это могло бы нанести серьезный удар по киберпреступным группировкам, однако пока ситуация остается без изменений. Миллионы скомпрометированных сайтов продолжают перенаправлять пользователей на вредоносные ресурсы, а рекламные платформы получают свою долю прибыли, закрывая глаза на источник трафика.
Эта ситуация поднимает важные вопросы о регулировании рекламных сетей и их ответственности за распространение вредоносного контента. Пока пользователи остаются уязвимыми, а злоумышленники - безнаказанными. Без скоординированных действий со стороны правоохранительных органов и технологических компаний проблема будет только усугубляться, создавая новые угрозы для цифровой безопасности.
Индикаторы компрометации
Domains
- 0.blueskyactivecontrol.com
- 0.mo10.biz
- 0.robotverifier.com
- 0.se11.biz
- 0.strongblackspaces.com
- 0.to6s.biz
- 01afa41bf2.news-xceyuna.live
- 01be885d26.hotbwixife.today
- 0605ee9ae7.hotbfocuhe.cc
- 06254a045e.news-xkijeki.store
- 19a1.brpconnecta.digital
- 1azo7.iqfmvj.com
- 209c.brpteamwork.cc
- 2765516796.news-xdujuwe.xyz
- 2rt.xcumpw.com
- 2zhyl.iqfmvj.com
- 3ic.ymehtq.com
- 43ff.rpstreamfx.xyz
- 5435.rpknowledge.xyz
- 6.enlala.com
- 6.lands.ninja
- 7r6.fmqrsj.com
- 9c3e1.rpdiscover.xyz
- c62a.rpbuildhub.xyz
- d3l.wstbaw.com
- fe12.brpdataboxx.today
- gzeao.cavernexplorer.com
- gzeao.check-tl-ver-116-3.com
- gzeao.check-tl-ver-154-2.com
- mvgde.runesmith.top
- mvgde.runicartisan.top
- mvgde.sec-tl-129-b.buzz
- mvgde.sec-tl-129-d.buzz
- mvgde.stonecoremason.com
