De dreigingsacteur bekend als Schade Viper is uitgezocht als een leverancier van Malicious Ad Technology (ADTECH), terwijl hij vertrouwt op een verward web van shell -bedrijven en ondoorzichtige eigendomsstructuren om opzettelijk de verantwoordelijkheid te ontwijken.
“Vane Viper heeft gedurende minstens tien jaar een kerninfrastructuur verstrekt in wijdverbreide malvertising, advertentie -fraude en cyberdreitproliferatie,” zei Infablox in een technisch rapport dat vorige week werd gepubliceerd in samenwerking met Guardio en Confiant.
“Vane Viper niet alleen makelaars verkeer voor malware-druppers en phishers, maar lijkt hun eigen campagnes te voeren, in overeenstemming met eerder gedocumenteerde ad-fraudetechnieken.”
Vane Viper, ook wel omnatuor genoemd, werd eerder gedocumenteerd door het DNS -bedreigingsinformatiebedrijf in augustus 2022, waarin het beschrijft als een malvertiserend netwerk dat verwant is aan Vextrio Viper dat profiteert van kwetsbare WordPress -sites om een enorm netwerk van gecompromitteerde domeinen te bouwen en te gebruiken om risicowerk, spyware en adware te verspreiden.
Een van de opmerkelijke aspecten van de persistentietechnieken van de dreigingsacteur is het misbruik van push -meldingsmachtigingen om advertenties te dienen, zelfs nadat de gebruiker weg van de eerste pagina navigeert door de browserinstellingen te wijzigen. Deze aanpak is gebaseerd op servicemedewerkers, die een hardnekkig browsergeproces zonder headly handhaven om te luisteren naar evenementen en ongewenste meldingen te dienen.
Eind vorig jaar legde Guardio Labs een campagne met een campagne genoemd, bedrogads genoemd die bleek te benutten om het kwaadaardige advertentienetwerk van Vane Viper te benutten om de campagnes in ClickFix-stijl te vergemakkelijken. De activiteit werd toegeschreven aan een bedrijf genaamd Monetag, dat volgens InfoBlox een dochteronderneming is van PropellerAds, een commercieel advertentietechnologiebedrijf dat op zijn beurt een dochteronderneming is van Adtech Holding, een holdingbedrijf gevestigd in Cyprus.
Domeinen gekoppeld aan de juiste lllerads zijn al lang gemarkeerd voor het faciliteren van malvertiserende campagnes en het stimuleren van verkeer om kits of andere frauduleuze sites te exploiteren. Verdere analyse heeft bewijsmateriaal aan het licht gebracht dat suggereert dat verschillende advertentiescampagnes zijn afkomstig van infrastructuur toegeschreven aan propellerads.
The cybersecurity company said Vane Viper has accounted for about 1 trillion DNS queries over the past year in about half of its customer networks, adding the threat actor takes advantage of hundreds of thousands of compromised websites and malicious ads that redirect unsuspecting site users to malicious browser extensions, fake shopping sites, adult content, survey scams, fake apps, sketchy software downloads, and malware, including an Android -malware genaamd Triada in één geval.
Wat meer is, Vane Viper lijkt infrastructuur en personeelsbanden te delen met URL -oplossingen (aka Pananames), Webzilla en XBT Holdings, waarbij de eerste ook gekoppeld is aan desinformatie -sites die zijn opgezet door een Russische invloedsoperatie genaamd Doppelgänger. Sommige van de andere bedrijven die eigendom zijn van Adtech Holding zijn Propushme, Zeydoo, Notix en Adex.
Ongeveer 60.000 domeinen worden beoordeeld als deel uit te maken van de infrastructuur van Vane Viper, waarvan de meeste slechts minder dan een maand actief blijven. Er zijn echter enkele domeinen die al meer dan 1200 dagen actief zijn, waaronder de originele omnatuor (.) Com, propeller-tracking (.) Com, en verschillende andere gecentreerd rond push-meldingsdiensten.
De operatie is gebleken om elke maand een enorm aantal nieuwe domeinen te registreren, waarbij alleen al in de maand oktober 2024 een hoogtepunt van 3.500 domeinen kan worden geschaald, een aanzienlijke sprong van minder dan 500 domeinen geregistreerd in april 2023.
Propellerads hebben echter eerder een wangedrag ontzegd, waarin staat dat het ‘niets meer is dan een geautomatiseerde intermediair om adverteerders te helpen de beste uitgevers te vinden om hun advertenties te publiceren’, en dat het ‘geen kwaadaardige advertentie op zijn netwerk heeft aanmoedigen’.
“Vane Viper is niet alleen een bedreigingsacteur die zich verstopt achter een Adtech -platform,” merkte Infeblox op. “Het is een dreigingsacteur als een ADTECH -platform. Adtech Holding beweert adverteerders te bereiken en inkomsten te genereren op schaal, maar wat het eigenlijk levert is risico.”
“Vane Viper verbergt zich achter de plausibele ontkenning van het werken als een advertentienetwerk, terwijl hun TDS (verkeersdistributiesysteem) wordt gebruikt om meerdere soorten bedreigingen te leveren.”
