تم ربط الجهات الفاعلة للتهديدات وراء خدمة توزيع حركة مرور Vextrio Viper (TDS) بخدمات TDS الأخرى مثل مساعدة TD و TD التي يمكن التخلص منها ، مما يشير إلى أن عملية مجرم الإنترنت المتطورة هي مؤسسة مترامية الأطراف خاصة بها مصممة لتوزيع المحتوى الخبيث.
“Vextrio هي مجموعة من شركات ADTech الضارة التي توزع عمليات الاحتيال والبرامج الضارة عبر تنسيقات إعلانية مختلفة ، بما في ذلك Smartlinks وإشعارات الدفع” ، InfoBlox قال في تقرير الغوص العميق شاركت مع أخبار المتسلل.
بعض شركات ADTech الضارة تحت Vextrio Viper تشمل Los Pollos و Taco Loco و Adtrafico. تدير هذه الشركات ما يسمى شبكة تابعة تجارية تربط الممثلين الخبيثين الذين يهبطون على مواقع الويب الخاصة بالمستخدمين الذين يطبقون على مواقع الويب الخاصة بهم ، وما يسمى بـ “الشركات التابعة الإعلانية” التي تقدم أشكالًا مختلفة من المخططات غير المشروعة مثل الاحتيال على بطاقة الهدايا ، والتطبيقات الخبيثة ، ومواقع التصيد ، والاحتيال.
بعبارة أخرى ، أنظمة توزيع حركة المرور الخبيثة هذه هي مصمم لإعادة توجيه الضحايا إلى وجهاتهم من خلال عرض Smartlink أو Direct. LOS Pollos ، وفقًا لشركة DNS Threat Intelligence ، تقوم موزعي البرامج الضارة بتنشيط (AKA Publishing Assiliates) مع وعود بعروض عالية الأجر ، في حين أن Taco Loco متخصص في تسييل الدفعة والتجنيد التابعين للإعلان.
مكون آخر ملحوظ من هذه الهجمات هو حل وسط مواقع WordPress لضخ كود ضار المسؤول عن بدء سلسلة إعادة التوجيه ، مما دفع الزوار في نهاية المطاف إلى البنية التحتية للاحتيال. ومن الأمثلة على هذه الحقن حملات Balada و Dollyway و Sign1 و DNS TXT.
“تقوم هذه البرامج النصية بإعادة توجيه زوار الموقع إلى صفحات الاحتيال المختلفة من خلال شبكات وساطة المرور المرتبطة بـ Vextrio ، وهي واحدة من أكبر الشبكات التابعة للحرارة الإلكترونية المعروفة التي تستفيد من تقنيات DNS المتطورة ، وأنظمة توزيع حركة المرور ، وخوارزميات النطاق إلى توصيل البرامج الضارة والخداع عبر الشبكات العالمية” ذُكر في تقرير نشر في مارس 2025.
عانت عمليات Vextrio من ضربة حول منتصف نوفمبر 2024 بعد القرآن مكشوف أن شركة ADTech Swissch كانت LOS Pollos جزءًا من Vextrio ، مما تسبب في توقف LOS Pollos عن تسييلها. هذا ، بدوره ، أدى إلى خروج ، مما تسبب في فاعلات التهديد التي اعتمدت اعتمادًا كبيرًا على شبكة LOS Pollos للانتقال إلى وجهات إعادة توجيه بديلة مثل TDs و TD يمكن التخلص منها.
 |
| التغييرات في السلوك مع مرور الوقت من مجموعتي C2 المستقلة |
كشف تحليل infoBlox لـ 4.5 مليون استجابات سجل DNS TXT من مواقع الويب المعرضة للخطر على مدار فترة ستة أشهر أنه يمكن تصنيف المجالات التي كانت جزءًا من حملات سجل DNS TXT إلى مجموعتين ، ولكل منها خادمها المميز في القيادة والسيطرة (C2).
وقالت الشركة “تم استضافة كلا الخادمين في البنية التحتية الروسية المتصلة ، ولكن لا تتداخل استضافةهما أو استجابات TXT”. “حافظت كل مجموعة على هياكل URL إعادة توجيه مختلفة ، على الرغم من أن كلاهما أدى في الأصل إلى Vextrio وبعد ذلك إلى TDS.”
لقد كشفت أدلة أخرى على أن كلا من TDs و TDs المتاح واحد وهما متماثلان ، وأن الخدمات تتمتع بـ “علاقة حصرية” مع Vextrio حتى نوفمبر 2024. لقد تحولت Help TDS ، التي أعادت تاريخيًا إلى حركة المرور إلى مجالات Vextrio ، منذ ذلك الحين إلى المقتلة ، وهي منصة تسييل تسييل تستخدم تقنية TDS إلى توصيل حركة المرور على الويب.
وقال InfoBlox ، “Help TDS لديها رابطة روسية قوية ، حيث يتم تسجيل الاستضافة وتسجيل المجال بشكل متكرر عبر الكيانات الروسية” ، واصفًا للمشغلين بأنهم مستقلون. “لا تحتوي على الوظائف الكاملة لـ Vextrio TDSS وليس لها علاقات تجارية واضحة تتجاوز اتصالاتها الغريبة مع Vextrio.”
Vextrio هي واحدة من بين العديد من TDSS التي تم تخطيها كشركات ADTech التجارية ، والآخرون هم شركاء House و Bropush و Richads و Admeking و Rexpush. العديد من هذه الأشياء موجهة نحو خدمات الإخطار للدفع من خلال الاستفادة من رسائل Google Firebase Cloud Messaging (FCM) أو البرامج النصية التي تم تطويرها المخصصة على API لتوزيع الروابط على المحتوى الضار عبر إشعارات الدفع.
وقالت الشركة: “مئات الآلاف من مواقع الويب التي تتعرض للخطر في جميع أنحاء العالم كل عام تعيد توجيه الضحايا إلى شبكة TDSS المتشابكة و TDSS التابعة لـ Vextrio”.
“تعرف شركة Vextrio وشركات الإعلان التابعة الأخرى من هي الجهات الفاعلة في البرامج الضارة ، أو لديهم على الأقل معلومات كافية لتعقبها. يتم تسجيل العديد من الشركات في البلدان التي تتطلب درجة ما من” معرفة عميلك “(KYC) ، ولكن حتى بدون هذه المتطلبات ، يتم فحص الشركات التابعة لها من قبل مديري عملائها.”
