当 Infoblox 研究人员着手破坏臭名昭著的流量分配系统 (TDS) VexTrio 时,他们没想到会发现现存最庞大、最持久的恶意软件生态系统之一。最初的“观察和观察”实验变成了对恶意广告技术、基于 DNS 的恶意软件活动和全球网站入侵的深刻纠缠世界的全面揭露。
2024 年 11 月 13 日,Qurium 曝光:瑞士-捷克广告技术公司 Los Pollos 与已知最大的恶意 TDS VexTrio 有关。仅仅几天后,Los Pollos 突然关闭了他们的“推送链接货币化”服务。在外人看来,这似乎是捍卫者的胜利。但正如 Infoblox 所观察到的那样,犯罪网络并没有瓦解——它只是改变了方向。
到 11 月 20 日,多个长期活跃的恶意软件活动(如 DollyWay、Balada 和 Sign1)同时停止将受害者重定向到 VexTrio,而是将他们引流到一项“新”服务中:Help TDS。但这根本不是什么新鲜事。
“Help TDS 并不新鲜,但多年来一直与 VexTrio 交织在一起,”研究人员发现。事实上,它与以前被称为一次性 TDS 的系统相同,只是更名但架构相同。
这项调查的主要部分围绕基于 DNS 的命令和控制 (C2) 基础设施展开。嵌入在超过 25,000 个 WordPress 网站中的恶意软件使用 DNS TXT 记录来中继编码的重定向指令。这些 C2 服务器(分为两个独立托管的集群)曾经将流量路由到 VexTrio,但在 Los Pollos 关闭后,它们同步了作以转向 Help TDS。
“通过分析 450 万条 DNS TXT 记录响应…我们发现,营销活动中使用的域分为两个不同的集合,每个集合都有不同的 C2 服务器。
这种转变不仅显示了技术协调,还显示了组织的弹性。尽管 GoDaddy 的研究人员证实 DollyWay 已从 VexTrio 过渡,但 Infoblox 指出,一些基于 DNS 的活动在 2025 年 5 月之前继续引导受害者帮助 TDS。
该报告揭开了推动这些活动的阴暗商业模式的面纱:恶意广告技术。
核心是伪装成联盟广告网络的商业运营商 Los Pollos、Taco Loco、BroPush、Partners House 和 RichAds。他们以在线广告为幌子分发恶意负载、虚假抽奖和推送通知诈骗。
“这些公司在允许网络附属公司加入之前会对其进行审查——我们知道,我们已经尝试过了——他们维护有关附属公司及其付款的个人信息,这可能会导致他们的身份。”
所谓的“发布附属公司”——通常是网站黑客——将流量重定向到 TDS,根据受害者的互动来赚钱。交付的内容很少是无辜的。它是武器化的广告、信息窃取程序和伪装成 CAPTCHA 的浏览器劫持推送通知。
技术工件进一步证实了这些恶意网络之间的深度互连。Infoblox 发现了用于在诈骗页面上诱捕用户的罕见 JavaScript 以及 logo.png 和 bot.png 等独特诱饵图像,这些图像在 VexTrio、Help TDS 和 RichAds 等六个 TDS 之间共享。
“这六个 TDS 共享图像诱饵……它们的 SHA256 文件哈希值匹配…所有这些都由专门从事推送广告的大型公共联盟网络运营。
这些公司甚至使用相同的基础设施怪癖:DNS 配置错误、PowerDNS 安装以及跨平台跟踪受害者的自定义 URL 参数。
利用数十万个网站的恶意软件行为者对与他们合作的广告技术公司来说并不是匿名的。
“广告技术公司知道。他们审查他们的出版附属公司并收集 Telegram 帐户和加密货币钱包等信息。
像 Los Pollos 这样的公司在合法性的外衣下运营,但对恶意软件分发者和诈骗运营商的身份保持充分了解。
Infoblox 报告不仅剖析了 VexTrio 的机器,还揭露了一个建立在剥削性广告、大规模网站入侵和 DNS 欺骗之上的整个黑社会。虽然像 Los Pollos 这样的个人行为者可能会在审查下关闭运营,但核心网络仍在继续——敏捷、适应性强且非常有效。
除非商业广告技术公司被追究责任,否则 VexTrio 及其众多克隆产品将持续存在于互联网的阴影中,从毫无戒心的用户的痛苦中获利。
发表评论
您还未登录,请先登录。
登录