- Push -уведомления теперь используются в качестве систем доставки вредоносных программ, и пользователи подписываются на них неосознанно.
- Поддельные запросы ввода Captcha теперь являются шлюзом для постоянного браузера -Хиджеки и фишинговые атаки
- Веб -сайт WordPress спокойно позаботитесь об пользователях с помощью невидимых команд DNS и совместно используемых JavaScript Loads
Недавние исследования создали тревожный союз между хакерами WordPress и коммерческими компаниями Adtech и создали огромную инфраструктуру для распределения вредоносных программ на глобальном уровне.
Исследование Интокс угроза Intel Vextrio, система распределения трафика (TDS), которая отвечает за повторение веб -пользователей, сдвигает поддельные объявления, обманчивые триггеры и мошеннические уведомления Push, по сути, является этим процессом.
В отчете утверждается, что в этой сети участвуют несколько коммерческих компаний, в том числе Los Pollos, Partners House и RICADS и обслуживают как посредников, так и способности.
Соединение Лос -Полло и неудачное отключение
Изначально Band Band Los Pollos в Vextrio, так как первый участвовал в российских кампаниях по дезинформации.
В ответ на это Лос -Поллос утверждал, что это завершит его модель «Push Link Monetarization».
Тем не менее, основная злонамеренная деятельность продолжалась, когда злоумышленники переключились на новый TDS, называемый справочником, и были, наконец, подключены к Vextrio.
Слабые места WordPress послужили входной точкой для нескольких кампаний в вредоносных программах, поскольку злоумышленники внедрили тысячи веб -сайтов и встроенные сценарии вредоносных диверсий. Эти сценарии были основаны на наборах данных DNS-TXT в качестве механизма команды и управления, чтобы определить, куда отправлять веб-посетителей.
Анализ более 4,5 миллионов ответов DNS в период с августа по декабрь 2024 года показал, что различные вредоносные племена, хотя они появлялись отдельно, общая инфраструктура, хостинг и модели поведения, которые привели к Vextrio или его прокси, включая помощь от TDS и доступных TDS.
JavaScript на этих платформах показал те же функции, что и контроль навигации браузера, деактивировал, вынужденную пересылку и привлекла пользователей фальшивыми соревнованиями.
Интересно, что эти TD встроены в коммерческие платформы Adtech, которые представляют себя как законные партнерские сети.
«В этом контексте эти компании имели исключительные отношения с« филиалами издателей », хакерами и знали их личность», — сказали исследователи.
Push -уведомления оказались особенно сильным вектором угрозы. Пользователи созданы для включения уведомлений о браузерах с помощью поддельных входов CAPTCHA.
Затем хакеры отправляют фишинговые или вредоносные ссылки после того, как пользователь подписался, в результате чего выбраны настройки брандмауэра и даже лучшие антивирусные программы.
Некоторые кампании продвигают эту новость о надежных услугах, таких как Google Firebase, что затрудняет обнаружение.
Перекрытие между платформами ADTech, включая Bropush, Ricads и Partners House, продолжает усложнять атрибуцию.
Замороженные системы DNS и повторно используемые сценарии указывают общий бэкэнд, возможно, даже совместную среду разработки.
Чтобы справиться с риском, пользователи должны избегать переключения подозрительных предупреждений браузера, используя инструменты, которые предлагают доступ с нулевым доступом сети (ZTNA), и быть осторожными при использовании записей CAPTCHA.
Обновляя WordPress и мониторинг аномалий DNS, администраторы сайта могут снизить вероятность компромиссов.
Тем не менее, компании Adtech могут иметь фактический рычаг и ключ к закрытию этих операций, если они выберут действие.
Вы также могли бы понравиться
