虚假验证码喂养的黑暗广告技术帝国

2024年末，安全研究人员发现克里姆林宫支持的虚假宣传活动通过恶意广告技术绕过社交媒体平台审核。最新调查显示，这个黑暗广告技术生态比已知的更加顽固且盘根错节。

克隆网站与流量劫持

2024年11月，安全公司Qurium发布对"Doppelganger"网络的研究。该网络通过克隆网站传播亲俄虚假新闻，利用"域名伪装"技术向搜索引擎和普通用户展示不同内容，延长虚假站点的存活时间。研究人员发现，该伪装服务同时推广在线约会网站，并与现存最古老的恶意流量分发系统（TDS）VexTrio共享基础设施。

恶意流量产业链

• LosPollos广告网络：模仿《绝命毒师》中的炸鸡连锁店，向被黑WordPress网站植入含复杂JavaScript的"智能链接"，将流量导入VexTrio系统
• TacoLoco：通过伪造验证码诱导用户授权推送通知，随后持续发送虚假病毒警报
• 基础设施关联：这些服务由捷克/俄罗斯公司Adspro Group运营，其服务器位于瑞士主机商C41和Teknology SA

技术规避与行业反应

2024年12月GoDaddy报告显示，当年近40%的被黑网站通过LosPollos链接重定向至VexTrio。在Qurium发布报告后：

• LosPollos于4天内暂停推送变现服务
• Adspro集团在1个月内更名为Aimed Global
• 长期依赖VexTrio的DollyWay恶意软件突然转向Help TDS系统

俄罗斯犯罪网络布局

Infoblox最新分析发现，VexTrio与至少4个俄罗斯推送变现项目（Partners House、BroPush、RichAds和RexPush）存在代码级关联，这些项目主要针对在线约会服务进行 affiliate 营销。

用户防护建议

1. 严格限制通知权限：

   • Firefox：设置 > 隐私与安全 > 权限 > 通知 > 勾选"阻止新请求"
   • Chrome：设置 > 隐私和安全 > 网站设置 > 通知 > 选择"不允许"
   • Safari：设置 > 网站 > 通知 > 取消"允许网站请求权限"

2. 警惕伪造验证码：真正的验证码不会要求通知权限

3. 定期检查已授权的通知列表