Kybernetická skupina známá jako Vane Viper byla odhalena jako klíčový poskytovatel škodlivých reklamních technologií, který využívá složitou síť schránkových firem a neprůhledných vlastnických struktur k zakrytí své činnosti.
„Vane Viper po dobu nejméně deseti let poskytuje infrastrukturu pro rozsáhlé malvertisingové kampaně, reklamní podvody a šíření kybernetických hrozeb,“ uvedla společnost Infoblox ve své analýze zveřejněné ve spolupráci s Guardio a Confiant.
Útočník zprostředkovává provoz pro šíření malwaru a phishingové útoky a podle výzkumníků také provozuje vlastní podvodné kampaně. Jeho činnost byla poprvé zaznamenána v roce 2022, kdy byla přirovnána k síti VexTrio Viper. Útočníci zneužívají zranitelné weby na WordPressu a vytvářejí z nich rozsáhlou síť kompromitovaných domén pro šíření riskwaru, spywaru a adwaru.
Jednou z technik, které skupina využívá k udržení přístupu, je zneužívání oprávnění pro push notifikace. Pomocí změn v nastavení prohlížeče a tzv. service workerů dokáže zobrazovat nechtěná oznámení i po opuštění původní stránky.
Podle Guardio Labs byla tato infrastruktura využita také při kampani DeceptionAds, která podporovala útoky sociálního inženýrství typu ClickFix. Aktivita byla spojena se společností Monetag, dceřinou firmou PropellerAds, která spadá pod AdTech Holding se sídlem na Kypru.
Domény spojené s PropellerAds byly dlouhodobě označovány za prostředníky malvertisingových kampaní a přesměrovávání uživatelů na podvodné stránky či exploit kity. Analýza Infobloxu navíc ukázala, že část těchto aktivit přímo vychází z infrastruktury PropellerAds.
Vane Viper za poslední rok vygeneroval přibližně bilion DNS dotazů napříč polovinou sítí zákazníků Infobloxu. Zneužívá stovky tisíc kompromitovaných webů a škodlivé reklamy, které přesměrovávají uživatele na falešné e-shopy, rozšíření prohlížeče, průzkumy, nebezpečné aplikace či malware – včetně Android hrozby Triada.
Vyšetřovatelé dále odhalili vazby mezi Vane Viper a společnostmi URL Solutions, Webzilla a XBT Holdings. První z nich byla dříve spojována i s dezinformační operací Doppelgänger. Pod AdTech Holding patří také firmy ProPushMe, Zeydoo, Notix a Adex.
Síť Vane Viper tvoří přibližně 60 000 domén, z nichž většina je aktivní jen několik týdnů. Některé však fungují déle než tři roky, včetně omnatuor[.]com a propeller-tracking[.]com. Počet nových registrací rychle roste – například v říjnu 2024 bylo registrováno kolem 3 500 domén, zatímco o rok dříve jich bylo méně než 500. Od roku 2023 tvoří domény Vane Viper téměř polovinu všech hromadně registrovaných adres přes URL Solutions.
PropellerAds se proti obviněním ohradila s tím, že je pouze automatizovaným zprostředkovatelem mezi inzerenty a vydavateli a že nepodporuje žádné škodlivé kampaně.
„Vane Viper není jen útočník, který se skrývá za adtech platformou,“ uvedla firma Infoblox. „Je to útočník jako adtech platforma. AdTech Holding sice slibuje inzerentům masivní dosah, ve skutečnosti však přináší značné riziko.“
„Vane Viper se tváří jako běžná reklamní síť, avšak ve skutečnosti využívá systém pro distribuci provozu (TDS) k doručování různých druhů hrozeb.“
Zdroj: The Hacker News
