El actor de amenazas conocido como Víbora de veletas ha sido denunciado como proveedor de tecnología publicitaria maliciosa (adtech), al tiempo que se basa en una red enredada de empresas fantasma y estructuras de propiedad opacas para evadir deliberadamente su responsabilidad.
«Vane Viper ha proporcionado una infraestructura básica para la proliferación generalizada de publicidad maliciosa, fraude publicitario y ciberamenazas durante al menos una década», Infoblox dijo en un informe técnico publicado la semana pasada en colaboración con Guardio y Confiant.
«Vane Viper no solo interviene en el tráfico de droppers y suplantadores de identidad de malware, sino que parece ejecutar sus propias campañas, de acuerdo con las técnicas de fraude publicitario previamente documentadas».
Vane Viper, también llamada Omnatuor , había sido documentada anteriormente por la empresa de inteligencia de amenazas del DNS en agosto de 2022, y la describía como una red de publicidad maliciosa similar a VexTrio Víbora que aprovecha sitios vulnerables de WordPress para crear una red masiva de dominios comprometidos y utilizarlos para propagar software de riesgo, spyware y adware.
Uno de los aspectos notables de las técnicas de persistencia del actor de amenazas es el abuso de los permisos de notificación push para publicar anuncios incluso después de que el usuario abandone la página inicial modificando la configuración del navegador. Este enfoque se basa en trabajadores de servicios , que mantienen un proceso de navegación persistente y sin interrupciones para detectar eventos y enviar notificaciones no deseadas.
A finales del año pasado, Guardio Labs puso al descubierto una campaña denominada Anuncios engañosos se descubrió que aprovechaba la red publicitaria maliciosa de Vane Viper para facilitar las campañas de ingeniería social al estilo de ClickFix. La actividad se atribuyó a una empresa llamada Monetag, que, según Infoblox, es una subsidiaria de Propulsor ADS , una empresa de tecnología publicitaria comercial que, a su vez, es una filial de AdTech Holding, un holding con sede en Chipre.
Dominios vinculados a ProperllerAds tener hace mucho tiempo marcado por facilitando campañas de publicidad maliciosa y conducción del tráfico a kits de exploits u otro sitios fraudulentos . Un análisis más detallado ha descubierto pruebas que sugieren que varias campañas de fraude publicitario se originaron en una infraestructura atribuida a PropellerAds.
La empresa de ciberseguridad afirmó que Vane Viper registró alrededor de 1 billón de consultas de DNS durante el último año en aproximadamente la mitad de sus redes de clientes, y añadió que el actor de amenazas aprovecha cientos de miles de sitios web comprometidos y anuncios maliciosos que redirigen a los usuarios desprevenidos del sitio a extensiones de navegador maliciosas, sitios de compras falsos, contenido para adultos, estafas de encuestas, aplicaciones falsas, descargas de software incompletas y malware, incluido un malware para Android llamado Triada en un caso.
Además, Vane Viper parece compartir vínculos de infraestructura y personal con URL Solutions (también conocida como Pananames), Webzilla y XBT Holdings, y la primera también está vinculada a sitios de desinformación creados por una operación de influencia rusa llamada Doppelgänger . Algunas de las otras empresas propiedad de AdTech Holding incluyen PropushMe, Zeydoo, Norix y Adex.
Se estima que alrededor de 60 000 dominios forman parte de la infraestructura de Vane Viper, la mayoría de los cuales solo permanecen activos durante menos de un mes. Sin embargo, hay algunos dominios que han estado activos durante más de 1200 días, incluidos el omnatuor [.] com original, propeller-tracking [.] com y varios otros centrados en los servicios de notificaciones push.
Se ha descubierto que la operación registra un gran número de dominios nuevos cada mes, alcanzando un máximo de 3.500 dominios solo en el mes de octubre de 2024, un salto significativo con respecto a los menos de 500 dominios registrados en abril de 2023. Los dominios de Vane Viper representan casi el 50% de los dominios registrados de forma masiva a través de URL Solutions desde 2023, según la empresa.
PropellerADS, sin embargo, tiene denegado anteriormente cualquier delito, afirmando que «no es más que un intermediario automatizado para ayudar a los anunciantes a encontrar los mejores editores para publicar sus anuncios» y que «no respalda, apoya ni fomenta ningún anuncio malicioso en su red».
«Vane Viper no es solo un actor de amenazas que se esconde detrás de una plataforma de tecnología publicitaria», señaló Infoblox. «Es un actor de amenazas como plataforma de tecnología publicitaria. AdTech Holding afirma ofrecer a los anunciantes un alcance y una monetización a gran escala, pero lo que realmente ofrece es el riesgo».
«Vane Viper se esconde detrás de la plausible negación de operar como una red de publicidad, al tiempo que utiliza su TDS [sistema de distribución de tráfico] para lanzar múltiples tipos de amenazas».