Hakerima koji stoje iza VexTrio Viper TDS (Traffic Distribution Service – sistem distribucije saobraćaja) pripisuju se i drugi slični sistemi kao što su Help TDS i Disposable TDS, što ukazuje da je riječ o sofisticiranoj cyberkriminalnoj operaciji koja funkcioniše kao ogromno poduzeće za distribuciju malicioznog sadržaja.
„VexTrio je grupa malicioznog adtech kompanija koje distribuišu prevare i štetan softver putem različitih oglasnih formata, uključujući pametne linkove (smartlinks) i push notifikacije“, navodi se u detaljnom izvještaju Infobloxa koji je podijeljen s The Hacker Newsom.
Neke od maliciozni adtech kompanija unutar VexTrio mreže uključuju Los Pollos, Taco Loco i Adtrafico. Ove kompanije upravljaju tzv. komercijalnom partnerskom mrežom koja povezuje hakeri koji šire malver putem svojih web stranica, na koje korisnici dolaze nesvjesno, s tzv. „oglasnim partnerima“ koji nude razne ilegalne šeme poput prevara s poklon karticama, malicioznih aplikacija, phishing stranica i drugih prevara.
Drugim riječima, ovi maliciozni sistemi distribucije saobraćaja osmišljeni su da preusmjere žrtve na ciljane destinacije putem SmartLink-a ili direktne ponude. Prema DNS firmi za prijetnje, Los Pollos angažuje distributere malvera (tzv. publishing affiliates) obećavajući im visoke zarade, dok se Taco Loco specijalizovao za monetizaciju push notifikacija i regrutuje oglasne partnere.
Još jedan ključni dio ovih napada je kompromitovanje WordPress stranica kako bi se ubacio maliciozni kod koji pokreće lanac preusmjeravanja i na kraju vodi posjetioce do infrastrukture VexTrio prevara. Primjeri ovakvih ubacivanja su Balada, DollyWay, Sign1 i DNS TXT kampanje.
„Ovi skriptovi preusmjeravaju posjetioce stranica ka različitim prevarantskim stranicama putem mreža za preprodaju saobraćaja povezanih s VexTrio – jednom od najvećih poznatih cyber kriminalnih mreža koje koriste sofisticirane DNS tehnike, sisteme distribucije saobraćaja i algoritme za generisanje domena za isporuku malvera i prevara širom svijeta“, naveo je GoDaddy u izvještaju objavljenom u martu 2025.
Operacije VexTrio su pretrpjele udarac sredinom novembra 2024, kada je Qurium otkrio da je švajcarsko-češka adtech kompanija Los Pollos dio VexTrio mreže, nakon čega je Los Pollos obustavio svoju push monetizaciju. Ovo je izazvalo egzodus hakeri koji su se u velikoj mjeri oslanjali na Los Pollos mrežu, pa su prešli na alternativne destinacije za preusmjeravanje poput Help TDS i Disposable TDS.
Infoblox je analizirao 4,5 miliona DNS TXT odgovora s kompromitovanih web stranica tokom šest mjeseci i otkrio da se domene korištene u DNS TXT kampanjama mogu podijeliti u dva seta, od kojih je svaki imao svoj komandno-kontrolni (C2) server.
„Oba servera su bila smještena na infrastrukturi povezanoj s Rusijom, ali se njihovo hostovanje i TXT odgovori nisu preklapali“, navodi kompanija. „Svaki set je imao drugačiju strukturu URL-a za preusmjeravanje, iako su oba na kraju vodila ka VexTrio, a zatim prema Help TDS.“
Daljnja istraga je pokazala da su Help TDS i Disposable TDS zapravo ista usluga i da su imali „ekskluzivnu saradnju“ s VexTrio sve do novembra 2024. Help TDS, koji je ranije preusmjeravao saobraćaj ka VexTrio domenama, sada to radi ka Monetizer-u, platformi za monetizaciju koja koristi TDS tehnologiju da poveže web saobraćaj izdavača sa oglašivačima.
„Help TDS ima snažnu povezanost s Rusijom – hosting i registracija domena se često obavljaju putem ruskih entiteta“, rekao je Infoblox, opisujući operatore kao moguće nezavisne. „Nema potpunu funkcionalnost kao VexTrio TDS i nema očite komercijalne veze osim zapanjujuće sličnosti s VexTrio.“
Renée Burton, potpredsjednica za prijetnje u Infobloxu, izjavila je za The Hacker News da Help TDS trenutno preusmjerava isključivo ka Monetizer-u. „Znamo da postoji posebna veza između Help TDS i VexTrio, što znači da vjerovatno djeluju koordinisano“, dodala je. „Dijele softver. [Ali] ne znamo kakva je veza između VexTrio i Monetizera. Drugim riječima, prelazak na Help TDS vjerovatno nije stvarni prelazak na novi TDS.“
VexTrio je samo jedan od brojnih TDS-ova koji su razotkriveni kao komercijalne adtech firme. Među ostalima su Partners House, BroPush, RichAds, Admeking i RexPush. Mnogi od njih su fokusirani na push notifikacione servise, koristeći Google Firebase Cloud Messaging (FCM) ili prilagođene skripte temeljene na Push API-ju za distribuciju linkova ka malicioznom sadržaju putem push notifikacija.
„Stotine hiljada kompromitovanih web stranica širom svijeta svake godine preusmjeravaju žrtve ka zamršenoj mreži VexTrio i povezanih TDS-ova“, navodi kompanija.
„VexTrio i ostale partnerske oglasne kompanije znaju ko su hakeri koji šire malver – ili barem imaju dovoljno informacija da ih pronađu. Mnoge od tih kompanija su registrovane u državama koje zahtijevaju određeni nivo identifikacije korisnika (KYC), ali čak i bez tih zahtjeva, partnerski izdavači se provjeravaju od strane svojih menadžera.“
Izvor:The Hacker News