(https://i.imgur.com/uFDpCDB.jpeg)
Los operadores detrás de VexTrio, una sofisticada red de servicios de distribución de tráfico malicioso (TDS), han sido vinculados directamente con otros sistemas similares como Help TDS y Disposable TDS, lo que evidencia una expansión estructurada de su ecosistema de malvertising. Esta infraestructura criminal se enfoca en redirigir tráfico web hacia contenido fraudulento y malware, aprovechando vulnerabilidades en sitios web legítimos y redes de afiliados engañosas.
Según un informe técnico de Infoblox, compartido con The Hacker News, VexTrio actúa como un consorcio de empresas de tecnología publicitaria maliciosa que emplean formatos como SmartLinks, redirecciones automáticas y notificaciones push, para diseminar estafas y software malicioso a escala global.
Las empresas fachada detrás de VexTrioEntre las marcas asociadas a esta red destacan Los Pollos, Taco Loco y Adtrafico, las cuales gestionan redes de afiliados publicitarios que sirven como intermediarios entre operadores de malware y actores que ejecutan campañas fraudulentas. Estas entidades ofrecen atractivas promesas económicas para reclutar afiliados editoriales, responsables de comprometer sitios web, especialmente en WordPress, mediante inyección de scripts maliciosos.
Una vez comprometidos, estos sitios inician cadenas de redirección que conducen al usuario a infraestructuras de estafa controladas por VexTrio o sus asociados. Ejemplos de campañas empleadas incluyen Balada Injector, DollyWay, Sign1 y ataques a través de registros TXT de DNS, utilizados para ocultar mecanismos de control y rastreo dentro del tráfico web.
SmartLinks, DNS TXT y redirecciones ocultasLos análisis de Infoblox, basados en más de 4,5 millones de registros TXT de DNS, permitieron identificar dos conjuntos principales de dominios utilizados para estas campañas. Cada conjunto funcionaba con un servidor C2 (comando y control) distinto, ambos con infraestructura conectada a proveedores rusos, aunque sin compartir recursos de red. Ambos tipos de tráfico inicialmente eran redirigidos a VexTrio, y posteriormente a Help TDS.
Help TDS y Disposable TDS han sido identificados como entidades estrechamente relacionadas, posiblemente gestionadas por los mismos operadores. Hasta noviembre de 2024, mantenían una relación exclusiva con VexTrio, actuando como rutas alternativas de redirección tras el colapso parcial de Los Pollos, cuya vinculación con VexTrio fue expuesta por Qurium Media Foundation.
De VexTrio a Monetizer: evolución del ecosistema TDSTras la caída de Los Pollos, Help TDS comenzó a redirigir tráfico a través de Monetizer, una plataforma que también utiliza tecnología TDS para conectar editores afiliados con anunciantes, manteniendo el flujo de monetización pese a los cambios estructurales. Si bien no presenta la complejidad operativa de VexTrio, Help TDS tiene fuertes conexiones rusas, tanto en su infraestructura como en el registro de dominios, y continúa operando como plataforma independiente dentro del ecosistema de malvertising.
VexTrio y el uso de notificaciones push maliciosasAdemás de SmartLinks y campañas DNS, VexTrio y sus afiliados como BroPush, Partners House, RichAds, Admeking y RexPush han adoptado notificaciones push como vector principal para distribuir contenido engañoso. Estas campañas emplean herramientas como Google Firebase Cloud Messaging (FCM) y scripts basados en Push API personalizados para enviar mensajes directamente al navegador del usuario, dirigiéndolo hacia contenido fraudulento o software malicioso.
Cada año, cientos de miles de sitios web comprometidos redirigen a usuarios desprevenidos a esta compleja red de estafas y malware. Los operadores de VexTrio conocen bien a sus afiliados: muchos de los negocios implicados están registrados en jurisdicciones con requisitos KYC (Know Your Customer), lo que sugiere que la red cuenta con procesos de verificación estructurados, aunque destinados a fines ilícitos.
Fuente: https://thehackernews.com/