Vane Viper：俄罗斯-塞浦路斯广告技术网络传播恶意软件

执行摘要

数字犯罪世界通常被认为隐藏在互联网的黑暗角落，但这些威胁越来越多地隐藏在主流数字广告的光鲜外表下。在某些情况下，广告技术平台被滥用，但我们发现越来越多的广告技术公司要么是同谋，要么积极参与恶意内容的传播。

通过广告技术运行恶意活动有一个秘诀，从合理推诿开始。加上复杂的公司结构，搅拌进不透明的所有权，就为有利可图的责任缺失创造了完美条件。这些因素不仅使滥用成为可能，而且使其可持续。

一个名为Vane Viper的威胁行为者出现在我们大约一半的客户网络中，在过去一年中处理了约1万亿次DNS查询，使其成为我们观察到的最普遍的威胁行为者之一。Vane Viper受益于全球数十万个被入侵的网站以及插入博客、游戏和购物网站的广告。

“Vane Viper"这个名称指的是AdTech Holding，一家位于塞浦路斯的广告技术和营销技术公司控股公司。其最著名的子公司PropellerAds是我们第一个明确的Vane Viper基础设施归因点。

PropellerAds的所有权历史复杂。它于2011年在伦敦成立为独立公司。该公司最初的董事之一Mardiros Haladjian出现在《天堂文件》中，地址在塞浦路斯，并且是一家马耳他公司Eldor Services的董事。

PropellerAds的子公司如Monetag试图掩盖与其母公司的联系。PropellerAds与BeMob和RollerAds等公司建立了战略合作伙伴关系。

AdTech Holding与其首选注册商URL Solutions（也称为Pananames）保持着可疑的联系。截至2025年4月1日，URL Solutions在我们的声誉评分算法中排名第三风险注册商。

根据Interisle咨询集团的2024年"网络钓鱼态势"报告，URL Solutions是与批量域名注册相关的第三高注册商。自2023年1月以来，Vane Viper占通过URL Solutions进行的批量注册事件的近一半。

浏览器内推送通知为威胁行为者提供了在端点和网络中实现持久性的机会。这些通知依赖于服务工作者：充当代理服务的JavaScript文件，拦截Web应用程序与网络之间的网络请求。

Vane Viper使用服务工作者和脚本链来滥用推送通知。服务工作者使用"eval()“执行从远程URL获取的任何内容是最令人担忧的，因为它允许从该URL检索的任何代码在页面上下文中运行。

Vane Viper使用其TDS以多种方式传递威胁：从发送到端点的推送通知，到受害者在网页浏览时可能遇到的被入侵或相似网站。

TDS使威胁行为者能够向所需用户传递恶意内容，同时有意将自动化流量（包括安全研究人员使用的工具）引导至死胡同。这与隐藏工具包结合使用，这些工具包通常与TDS紧密耦合但是分开的。

我们目前评估约有60,000个域名是Vane Viper基础设施的一部分。这些域名仅代表更广泛生态系统的一小部分。TDS可以将用户路由到几乎无限数量的下游着陆页，其中大多数仍然未被捕获。

在分析Vane Viper域名的生命周期时，大多数域名活跃时间不到一个月；然而，某些域名集已活跃1,200天或更长时间。这些包括omnatuor[.]com、propeller-tracking[.]com以及许多似乎围绕推送通知服务的域名。

我们观察到Vane Viper分发恶意浏览器扩展、虚假购物网站、成人内容、调查诈骗、虚假应用程序和可疑软件下载。

在一个操作中，用户从一个bit[.]ly链接开始，被迫通过推送订阅门，然后被放到一个所谓的Opera浏览器下载页面。我们怀疑Vane Viper自己（而非附属机构）运行此活动以进行广告欺诈。

该活动使用浏览器历史记录中毒技术，防止用户离开页面，并使用全屏透明<a>标签覆盖页面，确保任何用户点击都会重定向到有效载荷URL。

Vane Viper的操作专为规模和规避而构建，并为他们和其他不良行为者运行恶意广告活动提供了机制。通过近60,000个已知独特域名，大多数仅活跃数天或数周，他们利用推送通知持久性、动态隐藏和脚本链来大规模传递网络威胁。

URL Solutions、Webzilla和AdTech Holding形成了一个紧密相连的三家公司组合：通过深陷网络犯罪的注册商大量注册域名，托管在运营从Methbot到国家支持虚假信息的一切基础设施上，以及通过长期涉及恶意广告的广告网络传递有效载荷。

Vane Viper不仅仅是隐藏在广告技术平台后面的威胁行为者。它是一个作为广告技术平台的威胁行为者。