Os atores de ameaças por trás do VexTrio Viper Traffic Distribution Service (TDS) foram ligados a outros serviços TDS como Help TDS e Disposable TDS, indicando que a operação sofisticada de cibercriminosos é uma vasta empresa própria projetada para distribuir conteúdo malicioso.
"VexTrio é um grupo de empresas maliciosas de adtech que distribuem golpes e softwares prejudiciais por meio de diferentes formatos de anúncios, incluindo smartlinks e notificações push," Infoblox disse em um relatório aprofundado compartilhado com The Hacker News.
Algumas das empresas maliciosas de adtech sob o VexTrio Viper incluem Los Pollos, Taco Loco e Adtrafico.
Estas empresas operam o que é chamado de uma rede de afiliados comerciais que conecta atores de malware cujos sites usuários incautos acessam e os chamados "afiliados de publicidade" que oferecem várias formas de esquemas ilícitos como fraude de cartão-presente, apps maliciosos, sites de phishing e golpes.
Colocando de outra forma, esses sistemas de distribuição de tráfego malicioso são projetados para redirecionar as vítimas para seus destinos através de um SmartLink ou oferta direta.
Los Pollos, conforme a firma de inteligência de ameaças de DNS, inscreve distribuidores de malware (conhecidos como afiliados de publicação) com promessas de ofertas altamente lucrativas, enquanto Taco Loco se especializa em monetização push e recruta afiliados de publicidade.
Outro componente notável desses ataques é o comprometimento de sites WordPress para injetar código malicioso responsável por iniciar a cadeia de redirecionamento, levando eventualmente os visitantes à infraestrutura de golpes do VexTrio.
Exemplos dessas injeções incluem Balada, DollyWay, Sign1 e campanhas de DNS TXT record.
"Esses scripts redirecionam os visitantes do site para várias páginas de golpes através de redes de corretoras de tráfego associadas ao VexTrio, uma das maiores redes afiliadas de cibercriminosos conhecidas que utiliza técnicas sofisticadas de DNS, sistemas de distribuição de tráfego e algoritmos de geração de domínio para entregar malware e golpes através de redes globais," GoDaddy notou em um relatório publicado em março de 2025.
As operações do VexTrio sofreram um revés em meados de novembro de 2024 após Qurium revelar que a empresa suíço-tcheca de adtech Los Pollos era parte do VexTrio, fazendo com que Los Pollos cessasse sua monetização de link push.
Isso, por sua vez, desencadeou um êxodo, fazendo com que atores de ameaça que dependiam fortemente da rede Los Pollos se movessem para destinos alternativos de redirecionamento como Help TDS e Disposable TDS.
Mudanças no comportamento ao longo do tempo dos dois conjuntos C2 independentes
A análise da Infoblox de 4,5 milhões de respostas de DNS TXT record de sites comprometidos durante um período de seis meses revelou que os domínios que faziam parte das campanhas de DNS TXT record poderiam ser classificados em dois conjuntos, cada um com seu próprio servidor de comando e controle (C2) distinto.
"Ambos os servidores foram hospedados em infraestrutura conectada à Rússia, mas nem seus hospedagens nem suas respostas TXT se sobrepuseram," disse a empresa.
Cada conjunto manteve diferentes estruturas de URL de redirecionamento, mesmo que ambos originalmente levassem ao VexTrio e subsequentemente ao Help TDS. Evidências adicionais descobriram que tanto o Help TDS quanto o Disposable TDS são um só e o mesmo, e que os serviços desfrutavam de uma "relação exclusiva" com o VexTrio até novembro de 2024.
Help TDS, que historicamente redirecionava tráfego para domínios do VexTrio, desde então se voltou para o Monetizer, uma plataforma de monetização que usa tecnologia TDS para conectar tráfego da web de afiliados publicadores a anunciantes.
"O Help TDS tem uma forte conexão russa, com hospedagem e registro de domínio frequentemente feitos via entidades Russas," Infoblox disse, descrevendo os operadores como possivelmente independentes.
Ele não tem a funcionalidade completa dos TDSs do VexTrio e não possui laços comerciais óbvios além de suas conexões suspeitas com o VexTrio.
Renée Burton, vice-presidente de inteligência de ameaças na Infoblox disse que Help TDS está redirecionando exclusivamente para o Monetizer.
"Sabemos que existe alguma relação especial entre o help TDS e o VexTrio, o que significa que eles provavelmente estão coordenados," Burton adicionou.
"Eles compartilham software. [Mas] não sabemos a relação entre o VexTrio e o Monetizer.
Em outras palavras, mudar para o Help TDS não é realmente se mudar para um novo TDS, muito provavelmente."
VexTrio é um entre os muitos TDSs que foram expostos como firmas comerciais de adtech, os outros sendo Partners House, BroPush, RichAds, Admeking e RexPush.
Muitos desses são voltados para serviços de notificações push por meio do uso do Google Firebase Cloud Messaging (FCM) ou scripts customizados baseados na Push API para distribuir links para conteúdo malicioso via notificações push.
"Centenas de milhares de sites comprometidos ao redor do mundo redirecionam vítimas todos os anos para a complexa rede do VexTrio e dos TDSs afiliados ao VexTrio," disse a empresa.
VexTrio e as outras empresas afiliadas de publicidade sabem quem são os atores de malware, ou pelo menos têm informações suficientes para rastreá-los.
Muitas das empresas são registradas em países que requerem algum grau de 'conheça seu cliente' (KYC), mas mesmo sem esses requisitos, os afiliados de publicação são avaliados por seus gerentes de clientes.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...