Nieuwe bevindingen van Infoblox tonen aan dat WordPress-hackers en Traffic Distribution System-operators rond VexTrio gecoördineerd opereren. Door DNS-telemetrie te analyseren zijn verbanden ontdekt tussen verschillende criminele groepen die eerder onafhankelijk leken.
Toen de TDS werd verstoord, migreerden meerdere malware-actoren die ervan afhankelijk waren naar hetzelfde alternatieve TDS. Deze overgang toonde aan dat wat oorspronkelijk een onafhankelijk TDS leek, mogelijk verbonden was met VexTrio.
Door de analyse van 4,5 miljoen DNS TXT-record responses van gecompromitteerde websites over een periode van zes maanden, ontdekte Infoblox Threat Intel twee verschillende command-and-control servers binnen Russische infrastructuur. Deze ontdekkingen verschaffen inzicht in de structuur van DNS-malwarecampagnes.
Commerciële adtech als zwakke schakel
Verder onderzoek wijst uit dat meerdere Traffic Distribution Systems verrassend veel kenmerken delen met VexTrio. Hieronder vallen de commerciële adtech-bedrijven Partners House, Bro Push en RichAds. Toen adtech-bedrijf Los Pollos push monetization stopte, steeg het aantal nepinlogschermen via andere commerciële adtech-bedrijven.
Hoewel de relaties tussen deze commerciële entiteiten onduidelijk blijven, zijn ze duidelijk langdurige partners die verkeer naar elkaar doorsturen. Ze hebben allemaal een Russische connectie, maar er is geen bewijs voor gemeenschappelijk eigenaarschap.
Aanhoudende bedreiging
De geïdentificeerde relaties tussen website-hackers en het VexTrio-netwerk vormen een aanzienlijk gevaar. Ten eerste benadrukt dit de voortdurende dreiging van georganiseerde misdaad en hun vermogen om snel aan te passen. Ten tweede is de schaal van deze aanvallen significant.
Adtech-platforms gebruiken uitgebreide infrastructuren die specifieke payloads aan miljoenen gebruikers kunnen leveren. Tegelijkertijd maken ze gebruik van persoonlijke data om het ideale lokaas te routeren. Tot slot richt dit ecosysteem zich op duizenden legitieme websites die WordPress of andere content management systems gebruiken. Dit tast het merk en de reputatie van de organisaties die zij vertegenwoordigen aan.
Identificatie via unique identifiers
De keuze van malware-actoren om commerciële adtech te gebruiken, zou wel eens hun achilleshiel kunnen zijn. Bij het ontrafelen van de relaties tussen de website-hackers en het VexTrio-netwerk werd duidelijk dat er voor elke malware-operator unieke identifiers bestaan bij elk van de betrokken bedrijven.
De malware-hackers controleren netwerk-affiliates voordat zij hen toelaten, en ze houden persoonlijke informatie bij over de affiliates en hun betalingen die kunnen leiden tot hun identiteit. De echte test wordt de bereidheid van adtech-operators om kwaadaardige actoren aan te geven die het internet teisteren en onvertelde hoeveelheden geld hebben gestolen van slachtoffers wereldwijd.
Tip: WordPress plug-in voor webformulieren bevat kritieke kwetsbaarheid