O grupo criminoso conhecido como Vane Viper foi identificado como um fornecedor de tecnologia maliciosa para publicidade (adtech), utilizando uma complexa rede de empresas de fachada e estruturas de propriedade obscuras para fugir deliberadamente de responsabilidades.
De acordo com um relatório técnico da Infoblox, publicado na semana passada em parceria com Guardio e Confiant, “Vane Viper fornece infraestrutura essencial para campanhas de malvertising, fraudes em anúncios e disseminação de ameaças cibernéticas há pelo menos uma década”.
O grupo não apenas atua como intermediário para tráfego ligado a malware droppers e ataques de phishing, mas também conduz suas próprias campanhas, aplicando técnicas avançadas de ad fraud já documentadas.
Anteriormente, em agosto de 2022, a empresa de inteligência em ameaças DNS Infoblox já havia descrito a Vane Viper (também chamada de Omnatuor) como uma rede de malvertising semelhante ao VexTrio Viper.
A operação explora sites WordPress vulneráveis, criando uma vasta rede de domínios comprometidos para espalhar riskware, spyware e adware.
Um dos métodos mais sofisticados utilizados pelo grupo para manter a persistência é o abuso das permissões de notificações push.
Com isso, o Vane Viper consegue exibir anúncios mesmo depois que o usuário sai da página inicial, alterando configurações do navegador.
Essa técnica se apoia em service workers, processos em segundo plano que monitoram eventos e enviam notificações indesejadas sem a necessidade de abrir uma aba.
No final do ano passado, o laboratório Guardio revelou uma campanha chamada DeceptionAds, que utilizava a rede maliciosa de adtech da Vane Viper para executar esquemas de engenharia social do tipo ClickFix.
Essa atividade foi atribuída à empresa Monetag, subsidiária da PropellerAds, uma companhia comercial de tecnologia para anúncios que, por sua vez, pertence ao grupo AdTech Holding, um conglomerado sediado no Chipre.
Domínios vinculados à PropellerAds vêm sendo monitorados há anos por facilitar campanhas de malvertising e redirecionar usuários para exploit kits e sites fraudulentos.
Investigações mais recentes indicam que várias campanhas de fraude em anúncios têm origem na infraestrutura associada à empresa.
Segundo a Infoblox, em apenas um ano, a Vane Viper respondeu por aproximadamente 1 trilhão de consultas DNS em cerca de metade das redes de seus clientes.
O grupo explora centenas de milhares de sites comprometidos e anúncios maliciosos que redirecionam usuários para extensões de navegador fraudulentas, sites de compras falsos, conteúdo adulto, golpes de pesquisa, apps falsos, downloads suspeitos e malwares – incluindo o Triada, um malware para Android detectado em um dos casos.
Além disso, a Vane Viper compartilha infraestrutura e conexões de pessoal com empresas como URL Solutions (também conhecida como Pananames), Webzilla e XBT Holdings.
A URL Solutions também tem ligações com sites de desinformação criados por uma operação de influência russa chamada Doppelgänger.
Outras empresas do grupo AdTech Holding incluem ProPushMe, Zeydoo, Notix e Adex.
Estima-se que cerca de 60 mil domínios façam parte da infraestrutura da Vane Viper.
A maioria permanece ativa por menos de um mês, mas alguns domínios ultrapassam 1.200 dias de atividade, como omnatuor[.]com e propeller-tracking[.]com, ambos focados em serviços de notificação push.
A operação registra um número crescente de novos domínios mensalmente, chegando a 3.500 registros só em outubro de 2024 – um salto significativo em relação a menos de 500 domínios registrados em abril de 2023.
Desde 2023, quase 50% dos domínios registrados em massa pela URL Solutions estão associados à Vane Viper.
Apesar das evidências, a PropellerAds nega envolvimento em atividades ilícitas, afirmando ser “apenas um intermediário automatizado que ajuda anunciantes a encontrar os melhores publishers para veicular anúncios” e que “não endossa, apoia ou incentiva qualquer anúncio malicioso em sua rede”.
“O que torna a Vane Viper um ator único é que ela não está apenas escondida atrás de uma plataforma de adtech; ela é uma plataforma de adtech,” destaca a Infoblox.
“A AdTech Holding promete alcance e monetização em larga escala para anunciantes, mas na prática entrega riscos.”
“Vane Viper se beneficia da negação plausível por operar como uma rede de publicidade, enquanto utiliza seu sistema de distribuição de tráfego (TDS) para propagar múltiplas ameaças.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...