El actor de amenaza conocido como Experiencia Viper ha sido expulsado como un proveedor de tecnología de publicidad maliciosa (ADTech), mientras depende de una red enredada de compañías de shell y estructuras opacas de propiedad para esquivar deliberadamente la responsabilidad.
“Vane Viper ha proporcionado una infraestructura central en la malvertición generalizada, el fraude publicitario y la proliferación cibernética durante al menos una plazo”, dijo Informlox en un mensaje técnico publicado la semana pasada en colaboración con Guardio y Confiant.
“Vane Viper no solo es el tráfico de corredores de malware y phishers, sino que parece ejecutar sus propias campañas, de acuerdo con las técnicas de fraude publicitarias previamente documentadas”.
Vane Viper, todavía llamado Omnatuor, fue documentada previamente por la firma de inteligencia de amenazas DNS en agosto de 2022, describiéndola como una red malvertida similar a Vextrio Viper que aprovecha los sitios vulnerables de WordPress para construir una red masiva de dominios y usarlos para difundir el software de aventura, el spyware y el anuncio.
Uno de los aspectos notables de las técnicas de persistencia del actor de amenaza es el exageración de los permisos de notificación push para servir anuncios incluso a posteriori de que el adjudicatario se aleja de la página auténtico al alterar la configuración del navegador. Este enfoque se plinto en los trabajadores de servicio, que mantienen un proceso de navegador persistente para escuchar eventos y atiende notificaciones no deseadas.
A fines del año pasado, Guardio Labs dejó al descubierto una campaña denominada Deceptionads que se encontró que aprovechaba la red de publicidad maliciosa de Vane Viper para solucionar las campañas de ingeniería social al estilo ClickFix. La actividad se atribuyó a una compañía convocatoria Monetag, que, según Informlox, es una subsidiaria de Propellerads, una compañía de tecnología de anuncios comerciales que, a su vez, es una subsidiaria de Adtech Holding, una compañía tenedora con sede en Chipre.
Los dominios vinculados a Properllerads se han afectado durante mucho tiempo para solucionar las campañas de malvertición y impulsar el tráfico para explotar kits u otros sitios fraudulentos. Un exploración posterior ha descubierto evidencia que sugiere que varias campañas AD-Fraud se han originado a partir de la infraestructura atribuida a Propellerads.
The cybersecurity company said Vane Viper has accounted for about 1 trillion DNS queries over the past year in about half of its customer networks, adding the threat actor takes advantage of hundreds of thousands of compromised websites and malicious ads that redirect unsuspecting site users to malicious browser extensions, fake shopping sites, adult content, survey scams, fake apps, sketchy software downloads, and malware, including an Android Malware llamó a Triada en un caso.
Por otra parte, Vane Viper parece compartir infraestructura y lazos de personal con soluciones de URL (todavía conocido como Pananames), Webzilla y XBT Holdings, con los primeros todavía vinculados a sitios de desinformación establecidos por una operación de influencia rusa convocatoria Doppelgänger. Algunas de las otras compañías propiedad de Adtech Holding incluyen propushme, Zeydoo, Notix y Adex.
Se evalúa que más o menos de 60,000 dominios son parte de la infraestructura de Vane Viper, la mayoría de los cuales solo permanecen activos durante menos de un mes. Sin bloqueo, hay algunos dominios que han estado activos durante más de 1,200 días, incluidos los omnatuor originales () com, el seguimiento de la hélice (.) Com y varios otros centrados en los servicios de notificación push.
Se ha opuesto que la operación registra un gran número de nuevos dominios cada mes, escalando un mayor de 3.500 dominios en el mes de octubre de 2024 solo, un brinco significativo de menos de 500 dominios registrados en abril de 2023. Los dominios VIPER de paletas representan casi el 50% de los dominios registrados a abundante a través de soluciones URL desde 2023, según la compañía.
Propellerads, sin bloqueo, ha incapaz previamente cualquier irregularidad, afirmando que “no es carencia más que un intermediario automatizado para ayudar a los anunciantes a encontrar los mejores editores para anunciar sus anuncios,” y que “no respalda, apoya o fomenta ningún anuncio malvado en su red”.
“Vane Viper no es solo un actor de amenazas que se esconde detrás de una plataforma Adtech”, señaló Informlox. “Es un actor de amenaza como una plataforma ADTech. Adtech Holding Relf.
“Viper de velas se esconde detrás de la ineptitud plausible de actuar como una red publicitaria, mientras usa sus TD (sistema de distribución de tráfico) para entregar múltiples tipos de amenazas”.
