La red de publicidad maliciosa Vane Viper se hace pasar por tecnología publicitaria legítima en estafas globales

La empresa de ciberseguridad Infoblox afirma haber descubierto “Vane Viper”, una enorme red publicitaria en línea que se hacía pasar por un negocio legítimo mientras realizaba estafas globales y propagaba malware.

La operación, vinculada a PropellerAds, sobre la que se informó anteriormente, y a su empresa matriz AdTech Holding, ha estado activa durante casi una década y ahora se la considera una de las estafas de publicidad maliciosa más grandes vistas hasta la fecha.

El análisis de amenazas de Infoblox rastreó a Vane Viper durante más de tres años y descubrió que dominios vinculados a la operación aparecían en aproximadamente la mitad de las redes de sus clientes. Algunos de estos dominios se encontraban entre los 10 000 sitios web más importantes del mundo, e incluso un dominio de seguimiento llegó a estar entre los 1000 más importantes.

Según la investigación de Infoblox compartida con Hackread.com, PropellerAds no solo fue víctima de abuso por parte de actores maliciosos, sino que también distribuye malware de forma activa. Durante las pruebas, los investigadores de Infoblox siguieron enlaces del sistema de distribución de tráfico de Vane Viper y recibieron cargas útiles de malware directamente de PropellerAds. Esta evidencia, según Infoblox, demuestra complicidad, no negligencia.

Aunque PropellerAds ha estado implicado en campañas de malvertising realizadas por terceros en el pasado, demostrar que han cruzado la línea entre servicio abusado y facilitador cómplice ha sido un desafío. No tomamos estas conclusiones a la ligera.

Encontramos evidencia contundente de que PropellerAds no solo hizo la vista gorda ante el abuso delictivo de su plataforma, sino que los indicadores descritos a continuación sugieren, con un nivel de confianza entre moderado y alto, que varias campañas de fraude publicitario se originaron en infraestructura atribuida a PropellerAds.

Información sobre amenazas de Infoblox

Infoblox también observó más de un billón de consultas DNS vinculadas a su infraestructura el año pasado, distribuidas en más de 60.000 dominios. Muchos de estos dominios son de corta duración, activos solo unos días, mientras que otros permanecen activos durante años para apoyar campañas en curso. El grupo utiliza registros masivos de dominios, el abuso de notificaciones push y el encubrimiento para mantener sus operaciones activas y evitar las bajas.

La investigación también conecta a Vane Viper con Webzilla y XBT Holdings, empresas citadas anteriormente en el fraude publicitario Methbot (también conocido como Boaxxe y Miuref) de Rusia , esfuerzos de desinformación y plataformas de piratería.

Además, los registros corporativos muestran múltiples registros en el extranjero y una propiedad opaca, con vínculos con ciudadanos rusos, empresas de juegos de azar y empresas de contenido para adultos. Estas conexiones superpuestas, según Infoblox, crean una "negación plausible" que exime a la operación de rendir cuentas.

Este no es el primer grupo de amenazas a gran escala vinculado a la tecnología publicitaria sobre el que Infoblox informa. El mes pasado, la compañía presentó VexTrio , otra operación que surgió en 2015 en circunstancias similares. Al igual que Vane Viper, opera como un grupo de empresas de tecnología publicitaria dirigidas por rusoparlantes y ha desarrollado sistemas de distribución de tráfico que también funcionan como motores de distribución de malware.

“Los ciberdelincuentes no solo explotan las plataformas de tecnología publicitaria”, afirmó la Dra. Renée Burton , vicepresidenta de Inteligencia de Amenazas de Infoblox. “A veces, son las plataformas de tecnología publicitaria las que se aprovechan de ellas”.

Los anunciantes y editores deberían tomar los hallazgos de Infoblox como una advertencia para examinar cuidadosamente las redes publicitarias con las que trabajan. Para los usuarios habituales, el consejo es más sencillo, pero igual de importante: tengan cuidado al hacer clic en enlaces o anuncios en sitios desconocidos o poco fiables.

El informe completo de Infoblox, incluidos detalles técnicos y datos del dominio, está disponible a través de su equipo de inteligencia sobre amenazas.