Uma nova investigação da InfoBlox Ameak Intel revelou uma aliança secreta entre grupos de crime cibernético e empresas de tecnologia publicitária aparentemente legítimas. O caso envolve o grupo Vextrio e companhias como Los Pollos, Partners House, Bropush e Richads, além da mudança nas operações de malware como o Dollyway.
A descoberta surgiu após a interrupção do sistema de distribuição de tráfego (TDS) do Vextrio, usado para redirecionar visitantes da web para conteúdo malicioso. Após o bloqueio do TDS, diversas campanhas de malware migraram para outro provedor, que, segundo os pesquisadores, estava ligado à própria Vextrio.
Em novembro de 2024, os pesquisadores da Alcurium constataram que a empresa suíça Los Pollos estava integrada à rede da Vextrio. A confirmação ocorreu quando o grupo russo Doppelganger usou links da Los Pollos para disseminar aplicativos falsos e golpes. Com a colaboração de empresas de segurança, o impacto dessa mudança foi monitorado.
A desativação de recursos da Los Pollos levou o malware Dollyway, que explorava vulnerabilidades do WordPress há anos, a adotar o TDS alternativo. Outras campanhas como Balada e Sign1 também alteraram ou encerraram suas atividades. Dados da GoDaddy apontam que 40% dos sites comprometidos redirecionavam tráfego por meio da Vextrio e da Los Pollos.
Análises mostram que o novo TDS, chamado “Ajuda”, compartilha infraestrutura e código com a Vextrio. Empresas de adtech como Partners House, Richads e Bropush operam sistemas semelhantes, com indícios de vínculos com grupos russos, embora não haja confirmação de controle unificado.
As semelhanças técnicas e visuais entre esses sistemas, como imagens padronizadas usadas para atrair cliques, e o uso do PowerDNS reforçam a suspeita de uma operação coordenada. Os especialistas alertam que a confiança de operadores de malware em redes publicitárias comerciais pode acabar comprometendo-os, devido ao armazenamento de dados de pagamento e identidade por essas plataformas.
A investigação ressalta o aumento da complexidade das operações cibercriminosas e a importância de iniciativas colaborativas para dificultar esse tipo de atividade.
fonte: CISO ADVISOR
