虚假验证码驱动的黑暗广告技术帝国内幕

本文揭露了由俄罗斯支持的虚假信息网络如何利用恶意广告技术绕过社交媒体审核,详细分析了VexTrio等流量分发系统的运作机制,并提供了防护浏览器通知滥用的实用建议。

虚假验证码驱动的黑暗广告技术帝国内幕

2024年末,安全研究人员发现了一个惊人事实:克里姆林宫支持的虚假信息活动通过利用恶意广告技术,成功绕过了社交媒体平台的审核机制。这项技术同时支撑着一个庞大的网络诈骗生态系统。最新调查报告显示,这个黑暗广告技术产业比以往认知的更具韧性和内在关联性。

虚假信息网络与恶意广告的融合

2024年11月,安全公司Qurium发布了对"Doppelganger"虚假信息网络的调查报告。该网络通过克隆网站传播假新闻,推广亲俄叙事并渗透欧洲媒体环境。

Doppelganger活动使用特殊链接,在显示虚假新闻内容前会将访问者的浏览器通过一系列域名进行跳转。Qurium发现该网络依赖复杂的"域名伪装"服务,这种技术允许网站向搜索引擎和普通访问者展示不同的内容。伪装服务的使用帮助虚假信息网站延长在线时间,同时确保只有目标受众能看到预定内容。

恶意流量分发系统VexTrio

Qurium发现Doppelganger的伪装服务还推广在线约会网站,并与VexTrio共享大量基础设施。VexTrio被认为是现存最古老的恶意流量分发系统(TDS)。虽然合法广告网络通常使用TDS来管理不同来源的流量并跟踪每次点击的背后来源,但VexTrio的TDS主要管理来自网络钓鱼、恶意软件和社会工程诈骗受害者的网络流量。

深入研究后,Qurium注意到Doppelganger的伪装服务使用瑞士的互联网提供商作为域名重定向链的第一个入口点。他们还发现同一基础设施托管了两个联合品牌的联盟营销服务:LosPollos[.]com和TacoLoco[.]co,这些服务将流量导向可疑的成人约会网站。

LosPollos广告网络

LosPollos广告网络借鉴了热门剧集《绝命毒师》中的许多元素,模仿剧中作为冰毒贩运集团洗钱业务的虚构餐厅连锁"Los Pollos Hermanos"。

注册LosPollos的联盟会员会获得包含大量JavaScript的"智能链接",这些链接将流量导入VexTrio TDS,然后由VexTrio将流量分发给各种广告合作伙伴,包括约会服务、抽奖活动、诱饵调换移动应用、金融诈骗和恶意软件下载网站。

LosPollos联盟会员通常将这些智能链接植入通过已知漏洞被黑客攻击的WordPress网站中。每当通过这些被黑网站引荐的互联网用户落入这些陷阱时,联盟会员就能获得少量佣金。

TacoLoco的欺骗策略

TacoLoco是一个流量变现网络,使用欺骗性策略诱骗互联网用户启用"推送通知"——这是一种跨平台浏览器标准,允许网站在浏览器外部显示弹出消息。

在VexTrio和TacoLoco的情况下,通知批准请求本身就是欺骗性的——伪装成旨在区分自动化机器人流量和真实访问者的"CAPTCHA"挑战。多年来,VexTrio及其合作伙伴已成功欺骗无数用户启用这些网站通知,然后使用这些通知不断向受害者设备发送各种虚假病毒警报和误导性弹出消息。

根据GoDaddy 2024年12月的年度报告,2024年近40%的被黑网站通过LosPollos智能链接将访问者重定向到VexTrio。

基础设施与关联公司

2024年11月14日,Qurium发布研究证实LosPollos和TacoLoco是由Adspro Group运营的服务,该公司在捷克共和国和俄罗斯注册,并在瑞士托管提供商C41和Teknology SA运行其基础设施。

进一步调查显示,LosPollos和TacoLoco是由名为Holacode的公司开发的应用程序,该公司将Teknology SA的所有者Giulio Vitorrio Leonardo Cerutti列为其CEO。

Holacode营销的应用程序包括众多VPN服务,以及一个声称可以阻止不需要的推送通知的名为Spamshield的应用。但Infoblox在1月份表示,他们在自己的移动设备上测试了该应用,发现它会隐藏用户的通知,然后在24小时后停止隐藏并要求付款。

行业响应与演变

与Qurium合作,安全公司Infoblox的研究人员向其行业合作伙伴发布了有关VexTrio基础设施的详细信息。在Qurium发布调查结果仅四天后,LosPollos宣布暂停其推送变现服务。不到一个月后,Adspro更名为Aimed Global。

2025年3月,GoDaddy的研究人员记录了DollyWay——一种在其八年活动中持续将受害者重定向到VexTrio的恶意软件——如何在2024年11月20日突然停止这样做。几乎一夜之间,DollyWay和其他几个先前使用VexTrio的恶意软件家族开始通过另一个名为Help TDS的TDS推送流量。

防护建议

正如KrebsOnSecurity早在2020年警告的那样,在浏览网页时批准通知时要非常谨慎。在许多情况下,这些通知是无害的,但正如我们所看到的,有许多可疑公司付费让网站所有者安装其通知脚本,然后将该通信渠道转售给诈骗者和网络骗子。

如果您希望阻止网站显示通知请求,所有主要浏览器制造商都允许您这样做——无论是全局设置还是按网站设置。虽然完全阻止通知可能会破坏某些网站的功能,但为您管理的技术不太精通的亲友设备这样做可能会在未来为每个人省去很多麻烦。

浏览器通知设置指南:

  • Mozilla Firefox:导航到设置 > 隐私与安全 > 权限,点击"通知"旁边的"设置"选项卡。该页面将显示已允许的任何通知,并允许您编辑或删除任何条目。勾选"阻止新的允许通知请求"旁边的框以完全阻止它们。

  • Google Chrome:点击地址栏右侧的三个点图标,一直向下滚动到设置 > 隐私和安全 > 网站设置 > 通知。如果您想永久禁止通知请求,请选择"不允许网站发送通知"按钮。

  • Apple Safari:转到设置 > 网站,点击侧边栏中的通知。如果您希望完全关闭通知请求,请取消选中"允许网站请求发送通知的权限"选项。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次