De dreigingsactoren achter de Vextrio Viper Traffic Distribution Service (TDS) zijn gekoppeld aan andere TDS -services zoals Help TDS en wegwerp TD’s, wat aangeeft dat de geavanceerde cybercriminale operatie een uitgestrekte onderneming is van zichzelf die is ontworpen om kwaadaardige inhoud te verdelen.
“Vextrio is een groep kwaadaardige ADTECH-bedrijven die oplichting en schadelijke software verspreiden via verschillende advertentie-formaten, waaronder SmartLinks en pushmeldingen,” zei Infeblox in een diep duikrapport gedeeld met The Hacker News.
Sommige van de kwaadaardige ADTECH -bedrijven onder Vextrio Viper zijn Los Pollos, Taco Loco en ADTRAFICO. Deze bedrijven exploiteren wat een commercieel gelieerde netwerk wordt genoemd dat malware-actoren verbindt wiens websites nietsvermoedende gebruikers landen op en zogenaamde “advertentie-partners” die verschillende vormen van illegale regelingen bieden, zoals cadeaubonnen, kwaadaardige apps, phishing-sites en oplichters.
Anders gezegd, deze kwaadaardige verkeersdistributiesystemen zijn ontworpen om slachtoffers door te sturen naar hun bestemmingen via een smartlink of direct aanbod. Los Pollos, volgens het DNS-bedreigingsinlichtingenbedrijf, roept malwaredistributeurs (AKA Publishing Affiliates) in met beloften van hoogbetaalde aanbiedingen, terwijl Taco Loco gespecialiseerd is in push-inkomsten en rekruten advertenties.
Een ander opmerkelijk onderdeel van deze aanvallen is het compromis van WordPress -websites om kwaadaardige code te injecteren die verantwoordelijk is voor het initiëren van de omleidingsketen, waardoor bezoekers uiteindelijk naar Vextrio Scam -infrastructuur worden gebracht. Voorbeelden van dergelijke injecties zijn Balada-, Dollyway-, Sign1- en DNS TXT -recordcampagnes.
“Deze scripts die bezoekers van de scripts omleiden naar verschillende Scam -pagina’s via verkeersmakelaarnetwerken geassocieerd met VexTrio, een van de grootste bekende cybercriminale affiliate netwerken die gebruikmaken van geavanceerde DNS -technieken, verkeersdistributiesystemen en domeingeneratie -algoritmen om malware en scams te leveren over wereldwijde netwerken,” bracht in een rapport gepubliceerde in maart 2025.
De activiteiten van Vextrio leed een klap rond half november 2024 nadat Qurium onthulde dat het Zwitserse-Czech-adtech-bedrijf Los Pollos deel uitmaakte van Vextrio, waardoor LOS Pollos hun push-link inkomsten verhoogde. Dit heeft op zijn beurt een uittocht geactiveerd, waardoor dreigingsactoren die zwaar op het LOS Pollos -netwerk waren gebaseerd, verhuisden naar alternatieve omleidingsbestemmingen zoals help TD’s en wegwerp TD’s.
Infablox’s analyse van 4,5 miljoen DNS TXT-recordreacties van gecompromitteerde websites gedurende een periode van zes maanden heeft aangetoond dat de domeinen die deel uitmaakten van de DNS TXT-recordcampagnes in twee sets konden worden ingedeeld, elk met een eigen verschillende command-and-control (C2) -server.
“Beide servers werden georganiseerd in Russisch-verbonden infrastructuur, maar noch hun hosting noch hun TXT-antwoorden overlappen elkaar,” zei het bedrijf. “Elke set handhaafde verschillende omleidings -URL -structuren, hoewel ze allebei oorspronkelijk leidden tot Vextrio en vervolgens tot de Help TDS.”
Verder bewijs heeft ontdekt dat zowel TDS als wegwerp TD’s één en hetzelfde zijn, en dat de diensten tot november 2024 een “exclusieve relatie” hebben met Vextrio. Help TDS, die historisch verkeer omgeleid naar VEXTRIO -domeinen, is sindsdien overgegaan naar Monetizer, een monetisatieplatform van het Monetisatie, dat TDS -technologie verbindt om webverkeer te verbinden van uitgevers van advertenties.
“De Help TDS heeft een sterke Russische Nexus, met hosting- en domeinregistratie die vaak via Russische entiteiten wordt gedaan,” zei Infeblox, en beschreef de operators als mogelijk onafhankelijk. “Het heeft niet de volledige functionaliteit van de Vextrio TDSS en heeft geen duidelijke commerciële banden die verder gaan dan zijn griezelige verbindingen met Vextrio.”
Vextrio is een van de vele TDSS die zijn uitgewerkt als commerciële adtech -bedrijven, de andere zijn Partners House, Bropush, Richads, Admeking en Rexpush. Veel van deze zijn gericht op push-meldingsservices door gebruik te maken van Google Firebase Cloud Messaging (FCM) of op API gebaseerde op maat gemaakte scripts om links naar kwaadaardige inhoud te distribueren via pushmeldingen.
“Honderdduizenden gecompromitteerde websites over de hele wereld hebben elk jaar slachtoffers omleidend naar het Tangled Web of Vextrio en Vextrio-aangesloten TDSS,” zei het bedrijf.
“Vextrio en de andere aangesloten advertentiebedrijven weten wie de malware -actoren zijn, of ze hebben op zijn minst voldoende informatie om ze op te sporen. Veel van de bedrijven zijn geregistreerd in landen die een zekere mate van ‘Know Your Customer’ (KYC) vereisen, maar zelfs zonder deze vereisten worden gepubliceerde gelieerde ondernemingen door hun klantmanagers doorgehouden.”
