El actor de amenaza conocido como Hábito Viper ha sido expulsado como un proveedor de tecnología de publicidad maliciosa (ADTech), mientras depende de una red enredada de compañías de shell y estructuras opacas de propiedad para evadir deliberadamente la responsabilidad.
«Vane Viper ha proporcionado una infraestructura central en la malvertición generalizada, el fraude publicitario y la proliferación cibernética durante al menos una década», dijo Informlox en un informe técnico publicado la semana pasada en colaboración con Guardio y Confiant.
«Vane Viper no solo es el tráfico de corredores de malware y phishers, sino que parece ejecutar sus propias campañas, de acuerdo con las técnicas de fraude publicitarias previamente documentadas».
Vane Viper, también llamado Omnatuor, fue documentada previamente por la firma de inteligencia de amenazas DNS en agosto de 2022, describiéndola como una red malvertida similar a Vextrio Viper que aprovecha los sitios vulnerables de WordPress para construir una red masiva de dominios y usarlos para difundir el software de riesgo, el spyware y el anuncio.
Uno de los aspectos notables de las técnicas de persistencia del actor de amenaza es el abuso de los permisos de notificación push para servir anuncios incluso después de que el usuario se aleja de la página inicial al alterar la configuración del navegador. Este enfoque se basa en los trabajadores de servicio, que mantienen un proceso de navegador persistente para escuchar eventos y atiende notificaciones no deseadas.
A fines del año pasado, Guardio Labs dejó al descubierto una campaña denominada Deceptionads que se encontró que aprovechaba la red de publicidad maliciosa de Vane Viper para facilitar las campañas de ingeniería social al estilo ClickFix. La actividad se atribuyó a una compañía llamada Monetag, que, según Informlox, es una subsidiaria de Propellerads, una compañía de tecnología de anuncios comerciales que, a su vez, es una subsidiaria de Adtech Holding, una compañía tenedora con sede en Chipre.
Los dominios vinculados a Properllerads se han marcado durante mucho tiempo para facilitar las campañas de malvertición y impulsar el tráfico para explotar kits u otros sitios fraudulentos. Un análisis posterior ha descubierto evidencia que sugiere que varias campañas AD-Fraud se han originado a partir de la infraestructura atribuida a Propellerads.
The cybersecurity company said Vane Viper has accounted for about 1 trillion DNS queries over the past year in about half of its customer networks, adding the threat actor takes advantage of hundreds of thousands of compromised websites and malicious ads that redirect unsuspecting site users to malicious browser extensions, fake shopping sites, adult content, survey scams, fake apps, sketchy software downloads, and malware, including an Android Malware llamó a Triada en un caso.
Además, Vane Viper parece compartir infraestructura y lazos de personal con soluciones de URL (también conocido como Pananames), Webzilla y XBT Holdings, con los primeros también vinculados a sitios de desinformación establecidos por una operación de influencia rusa llamada Doppelgänger. Algunas de las otras compañías propiedad de Adtech Holding incluyen propushme, Zeydoo, Notix y Adex.
Se evalúa que alrededor de 60,000 dominios son parte de la infraestructura de Vane Viper, la mayoría de los cuales solo permanecen activos durante menos de un mes. Sin embargo, hay algunos dominios que han estado activos durante más de 1,200 días, incluidos los omnatuor originales () com, el seguimiento de la hélice (.) Com y varios otros centrados en los servicios de notificación push.
Se ha encontrado que la operación registra un gran número de nuevos dominios cada mes, escalando un máximo de 3.500 dominios en el mes de octubre de 2024 solo, un salto significativo de menos de 500 dominios registrados en abril de 2023. Los dominios VIPER de paletas representan casi el 50% de los dominios registrados a granel a través de soluciones URL desde 2023, según la compañía.
Propellerads, sin embargo, ha negado previamente cualquier irregularidad, afirmando que «no es nada más que un intermediario automatizado para ayudar a los anunciantes a encontrar los mejores editores para publicar sus anuncios,» y que «no respalda, apoya o fomenta ningún anuncio malicioso en su red».
«Vane Viper no es solo un actor de amenazas que se esconde detrás de una plataforma Adtech», señaló Informlox. «Es un actor de amenaza como una plataforma ADTech. Adtech Holding Relf.
«Viper de velas se esconde detrás de la negación plausible de operar como una red publicitaria, mientras usa sus TD (sistema de distribución de tráfico) para entregar múltiples tipos de amenazas».