Los actores de amenaza detrás del Servicio de Distribución de Tráfico de Viper Vextrio (TDS) se han vinculado a otros servicios de TDS, como TDS de ayuda y TD desechables, lo que indica que la operación ciberdeliminal sofisticada es una empresa en expansión propia diseñada para distribuir contenido receloso.
«Vextrio es un reunión de compañías maliciosas de Adtech que distribuyen estafas y software dañino a través de diferentes formatos publicitarios, incluidos los SmartLinks y las notificaciones push», dijo Informlox en un noticia de profundidad compartida con las informativo de los hackers.
Algunas de las compañías maliciosas de Adtech bajo Vextrio Viper incluyen Los Pollos, Taco Psicótico y Adrafico. Estas compañías operan lo que se flama una red de afiliados comerciales que conecta a los actores de malware cuyos sitios web que los usuarios desprevenidos aterrizan y los llamados «afiliados publicitarios» que ofrecen diversas formas de esquemas ilícitos como fraude de tarjetas de regalo, aplicaciones maliciosas, sitios de phishing y estafas.
Dicho de modo diferente, estos sistemas de distribución de tráfico receloso están diseñados para redirigir a las víctimas a sus destinos a través de una propuesta inteligente o directa. LOS POLLOS, según la firma de inteligencia de amenazas DNS, reclutamiento distribuidores de malware (igualmente conocidos como afiliados de publicación) con promesas de ofertas de detención suscripción, mientras que Taco Psicótico se especializa en monetización push y reclutamiento afiliadas publicitarias.
Otro componente extraordinario de estos ataques es el compromiso de los sitios web de WordPress para inyectar código receloso que sea responsable de iniciar la cautiverio de redirección, lo que finalmente lleva a los visitantes a la infraestructura de estafa de Vextrio. Ejemplos de tales inyecciones incluyen campañas de registro de Evocación, Dollyway, Sign1 y DNS TXT.
«Estos scripts redirigen a los visitantes del sitio a varias páginas de estafas a través de redes de corredores de tráfico asociadas con Vextrio, una de las redes afiliadas cibercriminales más grandes que aprovechan las técnicas de DNS sofisticadas, los sistemas de distribución de tráfico y los algoritmos de coexistentes de dominios para ofrecer malware y estafas en las redes globales», Godaddy, señaló en un noticia en marzo de 2025.
Las operaciones de Vextrio sufrieron un topetazo a mediados de noviembre de 2024 a posteriori de que el Corio reveló que la compañía Adtech de Swiss-Czech Los Pollos era parte de Vextrio, lo que hizo que Los Pollos cesen su monetización de enlace push. Esto, a su vez, desencadenó un éxodo, causando actores de amenaza que dependían en gran medida de la red de Los Pollos para que se muevan para codearse destinos de redirección, como TDS de ayuda y TD desechables.
 |
| Cambios en el comportamiento a lo holgado del tiempo de los dos conjuntos C2 independientes |
El exploración de Informlox de 4.5 millones de respuestas de registro de DNS TXT de sitios web comprometidos durante un período de seis meses ha revelado que los dominios que formaban parte de las campañas de registro de DNS TXT podrían clasificarse en dos conjuntos, cada uno con su propio servidor distintivo de comando y control (C2).
«Entreambos servidores fueron alojados en infraestructura conectada a ruso, pero ni su alojamiento ni sus respuestas TXT se superponían», dijo la compañía. «Cada conjunto mantuvo diferentes estructuras de URL de redirección, a pesar de que uno y otro originalmente condujeron a Vextrio y seguidamente a los TD de ayuda».
La evidencia adicional ha descubierto que tanto la ayuda de TDS como los TD desechables son uno y el mismo, y que los servicios disfrutaron de una «relación monopolio» con Vextrio hasta noviembre de 2024. Ayuda TDS, que redirigió históricamente el tráfico a los dominios Vextrio a los anunciantes de Vextrio a los anunciantes de los anuncios de los editoriales.
«El Ayuda TDS tiene un robusto trabazón ruso, con alojamiento y registro de dominio con frecuencia a través de entidades rusas», dijo Informlox, describiendo a los operadores como posiblemente independientes. «No tiene la funcionalidad completa de los TDS de Vextrio y no tiene vínculos comerciales obvios más allá de sus internos conexiones con Vextrio».
Vextrio es uno de los muchos TDS que se han sacado como firmas comerciales de Adtech, las otras son socios House, Bropush, Richads, Anthingking y Rexpush. Muchos de estos están orientados a los servicios de notificación push al hacer uso de Google Firebase Cloud Messaging (FCM) o scripts de avance personalizado basados en API para distribuir enlaces a contenido receloso a través de notificaciones push.
«Cientos de miles de sitios web comprometidos en todo el mundo cada año redirigen a las víctimas a la enredada Web of Vextrio y a Vextrio-afiliados a los TDS», dijo la compañía.
«Vextrio y las otras compañías de publicidad afiliada saben quiénes son los actores de malware, o al menos tienen suficiente información para rastrearlos. Muchas de las compañías están registradas en países que requieren cierto porción de» conoce a su cliente «(KYC), pero incluso sin estos requisitos, las afiliadas de publicación son examinadas por sus gerentes de clientes».
