El actor de amenaza conocido como Víbora de paletas ha sido expulsado como un proveedor de tecnología de publicidad maliciosa (ADTech), mientras depende de una red enredada de compañías de shell y estructuras opacas de propiedad para evadir deliberadamente la responsabilidad.
«Vane Viper ha proporcionado infraestructura central en la malvertición generalizada, el fraude publicitario y la proliferación cibernética durante al menos una década», infoBlox dicho En un informe técnico publicado la semana pasada en colaboración con Guardio y Confiant.
«Vane Viper no solo es el tráfico de corredores de malware y phishers, sino que parece ejecutar sus propias campañas, de acuerdo con las técnicas de fraude publicitarias previamente documentadas».
Viper Vane, también llamado Omnatuorfue documentado previamente por la firma de inteligencia de amenazas del DNS en agosto de 2022, describiéndola como una red malvertida similar a Vextrio Viper que se aprovecha de Sitios vulnerables de WordPress Para construir una red masiva de dominios comprometidos y usarlos para difundir Riskware, Spyware y Adware.
Uno de los aspectos notables de las técnicas de persistencia del actor de amenaza es el abuso de los permisos de notificación push para servir anuncios incluso después de que el usuario se aleja de la página inicial al alterar la configuración del navegador. Este enfoque se basa en trabajadores de servicioque mantienen un proceso persistente de navegador sin cabeza para escuchar eventos y atender notificaciones no deseadas.
A fines del año pasado, Guardio Labs puso al descubierto una campaña doblada Deceptionads Se descubrió que aprovecha la red de publicidad maliciosa de Vane Viper para facilitar las campañas de ingeniería social al estilo ClickFix. La actividad se atribuyó a una compañía llamada Monetag, que, según Informlox, es una subsidiaria de Héliceuna compañía de tecnología de publicidad comercial que, a su vez, es una subsidiaria de Adtech Holding, una compañía tenedora con sede en Chipre.
Dominios vinculados a Properllerads tener durante mucho tiempo marcado para facilitar Campañas de maldad y conducir tráfico para kits de explotación u otro sitios fraudulentos. Un análisis posterior ha descubierto evidencia que sugiere que varias campañas AD-Fraud se han originado a partir de la infraestructura atribuida a Propellerads.
The cybersecurity company said Vane Viper has accounted for about 1 trillion DNS queries over the past year in about half of its customer networks, adding the threat actor takes advantage of hundreds of thousands of compromised websites and malicious ads that redirect unsuspecting site users to malicious browser extensions, fake shopping sites, adult content, survey scams, fake apps, sketchy software downloads, and malware, including an Android malware llamado Triada en un caso.
Además, Vane Viper parece compartir infraestructura y lazos de personal con soluciones de URL (también conocido como Pananames), Webzilla y XBT Holdings, con los primeros también vinculados a sitios de desinformación establecidos por una operación de influencia rusa llamada Doppelgänger. Algunas de las otras compañías propiedad de Adtech Holding incluyen propushme, Zeydoo, Notix y Adex.
Se evalúa que alrededor de 60,000 dominios son parte de la infraestructura de Vane Viper, la mayoría de los cuales solo permanecen activos durante menos de un mes. Sin embargo, hay algunos dominios que han estado activos durante más de 1,200 días, incluido el omnatuor original[.]com, rastreador de hélice[.]com, y varios otros se centraron en los servicios de notificación push.
Se ha encontrado que la operación registra un gran número de nuevos dominios cada mes, escalando un máximo de 3.500 dominios en el mes de octubre de 2024 solo, un salto significativo de menos de 500 dominios registrados en abril de 2023. Los dominios VIPER de paletas representan casi el 50% de los dominios registrados a granel a través de soluciones URL desde 2023, según la compañía.
Propellerads, sin embargo, ha previamente negado Cualquier irregularidad, que indique que «no es más que un intermediario automatizado para ayudar a los anunciantes a encontrar los mejores editores para publicar sus anuncios,» y que «no respalda, soporta ni fomenta ningún anuncio malicioso en su red».
«Vane Viper no es solo un actor de amenazas que se esconde detrás de una plataforma Adtech», señaló Informlox. «Es un actor de amenaza como una plataforma ADTech. Adtech Holding Relf.
«Vane Viper se esconde detrás de la negación plausible de operar como una red publicitaria, mientras usa sus TDs [traffic distribution system] para entregar múltiples tipos de amenazas «.
Fuente