Los actores de amenaza detrás del Servicio de Distribución de Tráfico de Viper Vextrio (TDS) se han vinculado a otros servicios de TDS, como TDS de ayuda y TD desechables, lo que indica que la operación ciberdeliminal sofisticada es una empresa en expansión propia diseñada para distribuir contenido taimado.
“Vextrio es un peña de compañías maliciosas de Adtech que distribuyen estafas y software dañino a través de diferentes formatos publicitarios, incluidos los SmartLinks y las notificaciones push”, dijo Informlox en un crónica de profundidad compartida con las noticiero de los hackers.
Algunas de las compañías maliciosas de Adtech bajo Vextrio Viper incluyen Los Pollos, Taco Chiflado y Adrafico. Estas compañías operan lo que se vehemencia una red de afiliados comerciales que conecta a los actores de malware cuyos sitios web que los usuarios desprevenidos aterrizan y los llamados “afiliados publicitarios” que ofrecen diversas formas de esquemas ilícitos como fraude de tarjetas de regalo, aplicaciones maliciosas, sitios de phishing y estafas.
Dicho de forma diferente, estos sistemas de distribución de tráfico taimado están diseñados para redirigir a las víctimas a sus destinos a través de una proposición inteligente o directa. LOS POLLOS, según la firma de inteligencia de amenazas DNS, alistamiento distribuidores de malware (asimismo conocidos como afiliados de publicación) con promesas de ofertas de parada suscripción, mientras que Taco Chiflado se especializa en monetización push y alistamiento afiliadas publicitarias.
Otro componente sobresaliente de estos ataques es el compromiso de los sitios web de WordPress para inyectar código taimado que sea responsable de iniciar la sujeción de redirección, lo que finalmente lleva a los visitantes a la infraestructura de estafa de Vextrio. Ejemplos de tales inyecciones incluyen campañas de registro de Evocación, Dollyway, Sign1 y DNS TXT.
“Estos scripts redirigen a los visitantes del sitio a varias páginas de estafas a través de redes de corredores de tráfico asociadas con Vextrio, una de las redes afiliadas cibercriminales más grandes que aprovechan las técnicas de DNS sofisticadas, los sistemas de distribución de tráfico y los algoritmos de vivientes de dominios para ofrecer malware y estafas en las redes globales”, Godaddy, señaló en un crónica en marzo de 2025.
Las operaciones de Vextrio sufrieron un revés a mediados de noviembre de 2024 posteriormente de que el Corio reveló que la compañía Adtech de Swiss-Czech Los Pollos era parte de Vextrio, lo que hizo que Los Pollos cesen su monetización de enlace push. Esto, a su vez, desencadenó un éxodo, causando actores de amenaza que dependían en gran medida de la red de Los Pollos para que se muevan para rotar destinos de redirección, como TDS de ayuda y TD desechables.
 |
| Cambios en el comportamiento a lo extenso del tiempo de los dos conjuntos C2 independientes |
El disección de Informlox de 4.5 millones de respuestas de registro de DNS TXT de sitios web comprometidos durante un período de seis meses ha revelado que los dominios que formaban parte de las campañas de registro de DNS TXT podrían clasificarse en dos conjuntos, cada uno con su propio servidor distintivo de comando y control (C2).
“Entreambos servidores fueron alojados en infraestructura conectada a ruso, pero ni su alojamiento ni sus respuestas TXT se superponían”, dijo la compañía. “Cada conjunto mantuvo diferentes estructuras de URL de redirección, a pesar de que entreambos originalmente condujeron a Vextrio y después a los TD de ayuda”.
La evidencia adicional ha descubierto que tanto la ayuda de TDS como los TD desechables son uno y el mismo, y que los servicios disfrutaron de una “relación monopolio” con Vextrio hasta noviembre de 2024. Ayuda TDS, que redirigió históricamente el tráfico a los dominios Vextrio a los anunciantes de Vextrio a los anunciantes de los anuncios de los editoriales.
“El Ayuda TDS tiene un esforzado enlace ruso, con alojamiento y registro de dominio con frecuencia a través de entidades rusas”, dijo Informlox, describiendo a los operadores como posiblemente independientes. “No tiene la funcionalidad completa de los TDS de Vextrio y no tiene vínculos comerciales obvios más allá de sus internos conexiones con Vextrio”.
Vextrio es uno de los muchos TDS que se han sacado como firmas comerciales de Adtech, las otras son socios House, Bropush, Richads, Anthingking y Rexpush. Muchos de estos están orientados a los servicios de notificación push al hacer uso de Google Firebase Cloud Messaging (FCM) o scripts de ampliación personalizado basados en API para distribuir enlaces a contenido taimado a través de notificaciones push.
“Cientos de miles de sitios web comprometidos en todo el mundo cada año redirigen a las víctimas a la enredada Web of Vextrio y a Vextrio-afiliados a los TDS”, dijo la compañía.
“Vextrio y las otras compañías de publicidad afiliada saben quiénes son los actores de malware, o al menos tienen suficiente información para rastrearlos. Muchas de las compañías están registradas en países que requieren cierto calidad de” conoce a su cliente “(KYC), pero incluso sin estos requisitos, las afiliadas de publicación son examinadas por sus gerentes de clientes”.
