揭秘由虚假验证码驱动的黑暗广告技术帝国

去年年底，安全研究人员有了一个惊人发现：克里姆林宫支持的虚假信息活动通过利用驱动庞大在线骗子和网站黑客生态系统的恶意广告技术，绕过了社交媒体平台的审核。一项关于该调查后续影响的新报告发现，这个黑暗广告技术行业比之前已知的更具韧性和内部关联性。

2024年11月，安全公司Qurium的研究人员发布了对“Doppelganger”的调查，这是一个宣传亲俄叙事并通过克隆网站网络推送假新闻以渗透欧洲媒体格局的虚假信息网络。

Doppelganger活动使用专门的链接，在虚假新闻内容呈现之前，将访问者的浏览器通过一系列域名跳转。Qurium发现Doppelganger依赖一个复杂的“域名伪装”服务，该技术允许网站在搜索引擎和普通访问者面前呈现不同的内容。使用伪装服务有助于虚假信息网站比通常情况下在线时间更长，同时确保只有目标受众能够查看预期内容。

Qurium发现Doppelganger的伪装服务还推广在线约会网站，并与VexTrio共享大部分相同的基础设施，VexTrio被认为是现存最古老的恶意流量分发系统（TDS）。虽然TDS通常被合法广告网络用于管理来自不同来源的流量并跟踪每次点击背后的人或物，但VexTrio的TDS主要管理来自网络钓鱼、恶意软件和社会工程诈骗受害者的网络流量。

深入挖掘

Qurium进一步注意到Doppelganger的伪装服务使用瑞士的一家互联网提供商作为一系列域名重定向的第一个入口点。他们还注意到相同的基础设施托管了一对联合品牌的联盟营销服务，这些服务将流量引导至可疑的成人约会网站：LosPollos[.]com和TacoLoco[.]co。

LosPollos广告网络融入了热门剧集《绝命毒师》中的许多元素和引用，镜像了虚构的“Los Pollos Hermanos”餐厅连锁店，该连锁店为一个暴力冰毒卡特尔洗钱。

注册LosPollos的联盟会员会获得富含JavaScript的“智能链接”，这些链接将流量导入VexTrio TDS，然后VexTrio将流量分发给各种广告合作伙伴，包括约会服务、抽奖活动、诱饵切换移动应用、金融诈骗和恶意软件下载网站。

LosPollos联盟会员通常将这些智能链接嵌入通过已知漏洞被黑客攻击的WordPress网站中，每当由他们被黑网站引荐的互联网用户落入这些诱饵之一时，这些联盟会员将获得少量佣金。

根据Qurium的说法，TacoLoco是一个流量货币化网络，使用欺骗性策略诱骗互联网用户启用“推送通知”，这是一个跨平台浏览器标准，允许网站在浏览器外部显示弹出消息。例如，在Microsoft Windows系统上，这些通知通常显示在屏幕的右下角——系统时钟上方。

在VexTrio和TacoLoco的情况下，通知批准请求本身具有欺骗性——伪装成旨在区分自动化机器人流量和真实访问者的“CAPTCHA”挑战。多年来，VexTrio及其合作伙伴已成功诱骗无数用户启用这些网站通知，然后用于不断向受害者的设备发送各种虚假病毒警报和误导性弹出消息。

根据GoDaddy 2024年12月的年度报告，2024年近40%的被黑网站通过LosPollos智能链接将访问者重定向至VexTrio。

ADSPRO和TEKNOLOGY

2024年11月14日，Qurium发布研究以支持其发现，即LosPollos和TacoLoco是由Adspro Group运营的服务，该公司在捷克共和国和俄罗斯注册，且Adspro在瑞士托管提供商C41和Teknology SA运行其基础设施。

Holacode营销的应用程序包括众多VPN服务，以及一个名为Spamshield的应用程序，声称可以阻止不需要的推送通知。但在一月份，Infoblox表示他们在自己的移动设备上测试了该应用程序，发现它会隐藏用户的通知，然后在24小时后停止隐藏并要求付款。Spamshield随后将其开发者名称从Holacode更改为ApLabz，尽管Infoblox指出，几个更名后的ApLabz应用程序的服务条款仍在其中引用了Holacode。

令人难以置信的是，Cerutti在我甚至没有说出他的名字或向他发送评论请求之前就威胁要起诉我诽谤（Cerutti在一月份发送了未经请求的法律威胁，当时他的公司和我的名字仅仅在Infoblox关于VexTrio的LinkedIn帖子中被标记）。

当被要求对Qurium和Infoblox的发现发表评论时，Cerutti强烈否认与VexTrio有关联。Cerutti断言他的所有公司都严格遵守其运营所在国家的法规，并且对其所有运营完全透明。

“我们是一个在广告和营销领域运营的集团，拥有联盟网络计划，”Cerutti回应道。“我不会说我们是完美的，但我强烈声明我们与VexTrio没有任何联系。”

“不幸的是，作为该领域的大玩家，我们还必须处理大量的发布商欺诈、可疑流量、虚假点击、机器人、被黑、列出和转售的发布商账户等等，”Cerutti继续说道。“我们因此类不当行为损失大量资金，并定期进行内部筛查和审计，以不断清除不良流量来源。这也是一个高度竞争的空间，一些新贵通常会对我们这样更成熟的主流玩家采取不正当手段。”

与Qurium合作，安全公司Infoblox的研究人员向行业合作伙伴发布了关于VexTrio基础设施的详细信息。在Qurium发布其发现仅四天后，LosPollos宣布暂停其推送货币化服务。不到一个月后，Adspro已更名为Aimed Global。

揭示性的转变

2025年3月，GoDaddy的研究人员记录了DollyWay——一种在其八年活动中持续将受害者重定向至VexTrio的恶意软件株——如何在2024年11月20日突然停止这样做。几乎一夜之间，DollyWay和其他几个之前使用VexTrio的恶意软件家族开始通过另一个名为Help TDS的TDS推送流量。

进一步挖掘历史DNS记录和Help TDS使用的独特代码脚本，Infoblox确定其长期享有与VexTrio的独家关系（至少直到LosPollos在11月结束其推送货币化服务）。

在今天发布的一份报告中，Infoblox表示，对VexTrio和Help TDS使用的JavaScript代码、网站诱饵、智能链接和DNS模式的详尽分析将它们与至少其他四个TDS运营商（不包括TacoLoco）联系起来。这四个实体——Partners House、BroPush、RichAds和RexPush——都是基于俄罗斯的推送货币化计划，支付联盟会员以推动各种计划（主要是在线约会服务）的注册。

“随着Los Pollos推送货币化的结束，我们看到了驱动用户接受推送通知的虚假CAPTCHA的增加，尤其是来自Partners House的，”Infoblox报告写道。“这些商业实体的关系仍然是个谜；虽然它们肯定是长期合作伙伴，相互重定向流量，并且它们都有俄罗斯关联，但没有明显的共同所有权。”

Infoblox威胁情报副总裁Renee Burton表示，安全行业通常将VexTrio和其他恶意TDS使用的欺骗性方法视为一种法律灰色地带，主要与危险性较低的安全威胁（如广告软件和恐吓软件）相关。

但Burton认为这种观点是短视的，并有助于延续一个黑暗的广告技术行业，该行业还推送大量直接的恶意软件，指出每年全球有数十万个被黑网站将受害者重定向至VexTrio和VexTrio联盟TDS的纠缠网络。

“这些TDS是邪恶的威胁，因为它们可以连接到信息窃取器和诈骗的交付，这些每年使消费者损失数十亿美元，”Burton说。“从更大的战略角度来看，我的结论是俄罗斯有组织犯罪控制着恶意广告技术，而这些只是涉及的众多团体中的一些。”

你能做什么？

正如KrebsOnSecurity早在2020年警告的那样，在浏览网页时批准通知时非常谨慎是个好主意。在许多情况下，这些通知是良性的，但正如我们所看到的，有许多可疑公司支付网站所有者安装其通知脚本，然后将该通信途径转售给诈骗者和在线骗子。

如果您希望阻止网站呈现通知请求，所有主要浏览器制造商都允许您这样做——无论是全局还是按网站进行。虽然完全阻止通知可能会破坏某些网站的功能，但为您代表技术不太精通的朋