Bericht verbindet Los Pollos und RichAds mit Malware-Traffic-Operationen

Neue Untersuchungen von Infoblox Threat Intel decken eine geheime Allianz zwischen großen Cybercrime-Gruppen wie VexTrio und scheinbar seriösen AdTech-Unternehmen wie Los Pollos, Partners House, BroPush und RichAds auf. Entdecken Sie, wie Malware, darunter DollyWay, ihre Aktivitäten verlagerte und gemeinsame Infrastrukturen und Taktiken enthüllte.

Infoblox Threat Intel hat eine geheime Allianz zwischen zwei Cybercrime-Gruppen, VexTrio und scheinbar seriösen AdTech-Unternehmen, aufgedeckt. Diese Entdeckung erfolgte nach der Störung von VexTrio, die dazu führte, dass viele Malware-Gruppen zu einem einzigen, bisher verborgenen Anbieter wechselten.

Die Untersuchung begann mit der Störung des Traffic Distribution Systems (TDS) von VexTrio. Ein TDS fungiert als digitaler Verkehrsregler und leitet Website-Besucher zu den Inhalten. Ein bösartiges TDS leitet Benutzer jedoch auf schädliche Websites mit Malware oder Betrugsmaschen weiter, oft durch Tarnung oder Verschleierung seiner wahren Natur. Als das TDS von VexTrio gestört wurde, wechselten die Malware-Akteure unerwartet zu einem scheinbar neuen TDS, das jedoch dasselbe war.

Am 13. November 2024 enthüllten Qurium-Forscher, dass Los Pollos, ein schweizerisch-tschechisches AdTech-Unternehmen, Teil von VexTrio war. Dies wurde entdeckt, als die russische Doppelgänger-Gruppe die „Smartlinks“ von Los Pollos nutzte (Links, über die Malware-Betreiber Datenverkehr an ein bösartiges AdTech-TDS senden und so Nutzer zu gefälschten Apps oder Betrugsmaschen führen). Infoblox und Qurium arbeiteten daraufhin zusammen und tauschten Informationen mit anderen Sicherheitsgruppen aus.

Am 17. November stellte Los Pollos die Monetarisierung seiner Push-Links ein, was zu sofortigen Änderungen auf allen gehackten Websites führte. Am 20. November 2024 wechselte Malware wie DollyWay , die zuvor VexTrio verwendete und acht Jahre lang WordPress-Schwachstellen ausnutzte, zum Help TDS.

Auch andere große Malware-Kampagnen, darunter Balada und Sign1, die von GoDaddy identifiziert wurden, verlagerten ihren Betrieb oder stellten ihn ein. Der GoDaddy- Bericht von 2024 zeigte, dass fast 40 % der kompromittierten Websites Besucher über VexTrio auf Los Pollos umleiteten.

Weitere Überprüfungen bestätigten, dass Help TDS nicht neu war, sondern seit Jahren mit VexTrio verbunden war. Forscher fanden heraus, dass Help TDS und Disposable TDS identisch waren und bis November 2024 eine besondere Verbindung zu VexTrio hatten.

Die Analyse von 4,5 Millionen DNS - TXT-Record-Antworten zeigte, dass Schadsoftware, die DNS-TXT-Records für Command & Control (C2) nutzt, ebenfalls auf Help TDS umstieg. Diese C2-Server führten trotz unterschiedlicher Konfigurationen vor der Umstellung alle zu VexTrio und anschließend zu Help TDS.

Die Untersuchung ergab, dass viele TDSs Software- und Webadressmuster mit VexTrio teilten, was auf einen gemeinsamen Ursprung hindeutet. Der Eigentümer von Help TDS ist unbekannt, doch kommerzielle AdTech-Unternehmen wie Partners House, BroPush und RichAds betreiben gemeinsame TDSs, viele davon mit russischen Verbindungen. Es wurde jedoch kein gemeinsamer Eigentümer gefunden.

Die Abhängigkeit der Malware-Betreiber von kommerzieller AdTech könnte ihnen zum Verhängnis werden, da diese Unternehmen über persönliche und Zahlungsinformationen verfügen, die Kriminelle identifizieren könnten. Die konsequente Verwendung von gemeinsamem Code, Trickbildern und Webadressmustern durch VexTrio, Help und Disposable TDSs sowie spezifisches JavaScript, das die Benutzernavigation behindert, deutet auf eine stark koordinierte Vorgehensweise hin.

Sechs TDSs, darunter VexTrio, Partners House und RichAds, verwenden identische Köderbilder, oft einfach „1.png“, „2.png“ usw. genannt, um Nutzer dazu zu verleiten, bösartige Push-Benachrichtigungen zuzulassen. Diese Netzwerke, die von großen öffentlichen Affiliate-Netzwerken betrieben werden, die auf Push-Werbung spezialisiert sind, nutzen ebenfalls PowerDNS, was auf eine gemeinsame Infrastruktur hindeutet.

Diese Ergebnisse zeigen, dass die Cyberkriminalität immer raffinierter wird und es dadurch schwieriger wird, zwischen legitimen und bösartigen Aktivitäten zu unterscheiden. Kontinuierliche Forschung und die Zusammenarbeit zwischen Sicherheitsfirmen können jedoch wichtig sein, um Online-Nutzer vor solchen Betrügereien zu schützen.