Tác nhân đe dọa được biết đến là Vane Viper đã bị vạch trần là kẻ cung cấp công nghệ quảng cáo độc hại (adtech), đồng thời dựa vào một mạng lưới phức tạp gồm các công ty vỏ bọc và cấu trúc sở hữu không rõ ràng để cố tình trốn tránh trách nhiệm.
"Vane Viper đã cung cấp cơ sở hạ tầng cốt lõi trong việc phát tán malvertising, ad fraud và các mối đe dọa mạng rộng khắp trong ít nhất một thập kỷ," Infoblox cho biết trong một báo cáo kỹ thuật được công bố vào tuần trước, hợp tác với Guardio và Confiant.
"Vane Viper không chỉ môi giới lưu lượng truy cập cho các công cụ phát tán malware và phisher, mà còn dường như tự thực hiện các chiến dịch của riêng mình, phù hợp với các kỹ thuật ad-fraud đã được ghi nhận trước đây."
Vane Viper, còn được gọi là Omnatuor, trước đây đã được công ty tình báo mối đe dọa DNS ghi nhận vào tháng 8 năm 2022, mô tả nó là một mạng lưới malvertising tương tự VexTrio Viper lợi dụng các trang web WordPress dễ bị tấn công để xây dựng một mạng lưới lớn các tên miền bị xâm nhập và sử dụng chúng để phát tán riskware, spyware và adware.
Một trong những khía cạnh đáng chú ý về kỹ thuật duy trì quyền truy cập của tác nhân đe dọa là việc lạm dụng quyền thông báo đẩy để hiển thị quảng cáo ngay cả sau khi người dùng rời khỏi trang ban đầu bằng cách thay đổi cài đặt trình duyệt. Phương pháp này dựa vào service workers, duy trì một quá trình trình duyệt headless liên tục để lắng nghe các sự kiện và hiển thị các thông báo không mong muốn.
Cuối năm ngoái, Guardio Labs đã vạch trần một chiến dịch có tên DeceptionAds được phát hiện lợi dụng mạng quảng cáo độc hại của Vane Viper để tạo điều kiện cho các chiến dịch kỹ thuật xã hội kiểu ClickFix. Hoạt động này được cho là do một công ty tên Monetag thực hiện, mà theo Infoblox, là một công ty con của PropellerAds, một công ty công nghệ quảng cáo thương mại mà đến lượt mình lại là công ty con của AdTech Holding, một công ty cổ phần có trụ sở tại Cyprus.
Các tên miền liên quan đến PropellerAds đã từ lâu bị gắn cờ vì tạo điều kiện cho các chiến dịch malvertising và dẫn lưu lượng truy cập đến các exploit kits hoặc các trang web lừa đảo khác. Phân tích sâu hơn đã phát hiện bằng chứng cho thấy một số chiến dịch ad-fraud có nguồn gốc từ cơ sở hạ tầng được gán cho PropellerAds.
Công ty an ninh mạng cho biết Vane Viper đã chiếm khoảng 1 nghìn tỷ truy vấn DNS trong năm qua trên khoảng một nửa mạng lưới khách hàng của họ, đồng thời cho biết tác nhân đe dọa này lợi dụng hàng trăm nghìn trang web bị xâm nhập và các quảng cáo độc hại để chuyển hướng người dùng trang web không nghi ngờ đến các tiện ích mở rộng trình duyệt độc hại, trang web mua sắm giả mạo, nội dung người lớn, lừa đảo khảo sát, ứng dụng giả mạo, tải xuống phần mềm không rõ nguồn gốc và malware, bao gồm cả một Android malware có tên Triada trong một trường hợp.
Hơn nữa, Vane Viper dường như có mối liên hệ về cơ sở hạ tầng và nhân sự với URL Solutions (còn gọi là Pananames), Webzilla và XBT Holdings, trong đó URL Solutions cũng được liên kết với các trang web thông tin sai lệch do một chiến dịch gây ảnh hưởng của Nga có tên Doppelgänger thiết lập. Một số công ty khác thuộc sở hữu của AdTech Holding bao gồm ProPushMe, Zeydoo, Notix và Adex.
Khoảng 60.000 tên miền được đánh giá là một phần của cơ sở hạ tầng của Vane Viper, hầu hết trong số đó chỉ hoạt động dưới một tháng. Tuy nhiên, có một số tên miền đã hoạt động hơn 1.200 ngày, bao gồm omnatuor[.]com gốc, propeller-tracking[.]com và một số tên miền khác tập trung vào các dịch vụ thông báo đẩy.
Hoạt động này đã đăng ký một lượng lớn tên miền mới mỗi tháng, đạt đỉnh 3.500 tên miền chỉ trong tháng 10 năm 2024, một bước nhảy vọt đáng kể so với dưới 500 tên miền được đăng ký vào tháng 4 năm 2023. Theo công ty, các tên miền của Vane Viper chiếm gần 50% tổng số tên miền được đăng ký hàng loạt thông qua URL Solutions kể từ năm 2023.
Tuy nhiên, PropellerAds đã trước đây phủ nhận mọi hành vi sai trái, khẳng định rằng họ "không gì hơn là một trung gian tự động để giúp các nhà quảng cáo tìm được những nhà xuất bản tốt nhất để đăng quảng cáo của họ," và rằng họ "không tán thành, hỗ trợ hoặc khuyến khích bất kỳ quảng cáo độc hại nào trên mạng lưới của mình."
"Vane Viper không chỉ là một tác nhân đe dọa ẩn mình sau một nền tảng adtech," Infoblox lưu ý. "Nó là một tác nhân đe dọa hoạt động như một nền tảng adtech. AdTech Holding tuyên bố cung cấp cho các nhà quảng cáo khả năng tiếp cận và kiếm tiền ở quy mô lớn, nhưng những gì nó thực sự mang lại là rủi ro."
"Vane Viper ẩn mình sau vỏ bọc là một mạng lưới quảng cáo, trong khi sử dụng TDS [traffic distribution system] của mình để phát tán nhiều loại mối đe dọa."
