在由虚假验证码喂养的黑暗广告技术帝国中
快速阅读: 《Krebs on Security (博客)》消息,安全报告显示,暗网广告技术支撑虚假信息和网络欺诈。Qurium调查发现“双胞胎”网络利用复杂技术传播亲俄叙事。专家呼吁谨慎处理网页通知,建议禁用不受信任网站的通知功能以保护隐私和安全。
去年年末,安全研究人员发现了一个令人震惊的事实:由克里姆林宫支持的虚假信息行动利用了相同的暗网广告技术,绕过了社交媒体平台的内容审核流程。这种技术同样支撑着一个庞大的网络欺诈和网站黑客生态系统。近期一份关于此次调查后果的新报告显示,这一暗网广告技术产业比以往所知的更为顽固且复杂。
2024年11月,安全公司Qurium的研究人员发表了一份针对“双胞胎”(Doppelganger)的调查报告。“双胞胎”是一个虚假信息传播网络,通过推广亲俄叙事并利用一系列克隆网站传播假新闻,渗透了欧洲的媒体环境。“双胞胎”活动使用专门设计的链接,将访问者的浏览器引导经过一连串域名后才显示假新闻内容。Qurium发现,“双胞胎”依赖一种复杂的“域名隐藏”技术,这项技术允许网站向搜索引擎展示与普通访客看到的不同内容。这种隐藏技术的应用使得虚假信息网站比原本能更长时间地保持在线状态,同时确保只有目标受众能看到预期内容。
Qurium还发现,“双胞胎”的隐藏服务还推广了在线约会网站,并且与被认为是现存最古老的恶意流量分发系统(TDS)之一的VexTrio共享大量基础设施。虽然TDS通常被合法广告网络用来管理来自不同来源的流量并追踪每个点击背后的来源或身份,但VexTrio的TDS主要管理的是钓鱼、恶意软件和社交工程骗局受害者的网页流量。
深入挖掘后,Qurium发现“双胞胎”的隐藏服务以瑞士的一家互联网服务商作为域名重定向链的第一个入口点。他们还注意到同一基础设施托管了两个共品牌附属营销服务,这些服务正在推动流量到一些可疑的成人约会网站:LosPollos[.]com和TacoLoco[.]co。LosPollos广告网络融入了许多来自热门剧集《绝命毒师》(Breaking Bad)的元素和引用,模仿了虚构的“Los Pollos Hermanos”连锁餐厅,该餐厅曾是暴力甲基苯丙胺犯罪集团用于洗钱的操作机构。LosPollos的标志(左上角)是剧中虚构的鸡肉连锁餐厅老板古斯·弗林格的形象。
LosPollos附属公司通常会把这些智能链接缝合进通过已知漏洞被黑客攻击的WordPress网站中,每当有通过他们被黑客攻击的任何网站推荐的互联网用户落入这些诱饵时,这些附属公司就能获得一小笔佣金。根据Qurium的说法,TacoLoco是一个流量变现网络,它使用欺骗性手段诱使互联网用户启用“推送通知”,这是一种跨平台浏览器标准,允许网站在浏览器外部显示弹出消息。
多年来,VexTrio及其合作伙伴成功地诱骗了无数用户启用这些网站通知,这些通知随后被用来不断向受害者设备发送各种虚假病毒警告及误导性弹窗信息。VexTrio落地页的例子,引导用户在其设备上接受推送通知。
根据GoDaddy于2024年12月发布的年度报告,近40%的被篡改网站在2024年通过LosPollos智能链接将访问者重定向至VexTrio。ADSPRO和技术2024年11月14日,Qurium发表了研究结果,支持其发现LosPollos和TacoLoco是由在捷克共和国和俄罗斯注册的Adspro集团运营的服务,并且Adspro在瑞士的托管提供商C41和Teknology SA运行其基础设施。
Qurium注意到LosPollos和TacoLoco网站声称其内容由两家瑞士公司ByteCore AG与SkyForge Digital AG拥有版权,这两家公司均由Teknology SA的所有者Guilio Vitorrio Leonardo Cerutti经营。进一步调查显示,LosPollos和TacoLoco是由一家名为Holacode的公司开发的应用程序,该公司将Cerutti列为首席执行官。Holacode推广的应用程序包括多种VPN服务,以及一个名为Spamshield的应用程序,声称能够阻止不必要的推送通知。但在一月份,Infoblox表示他们在自己的移动设备上测试了该应用程序,发现它隐藏了用户的通知,然后在24小时后停止隐藏并要求支付费用。Spamshield随后将其开发者名称从Holacode更名为ApLabz,尽管Infoblox指出几个重新品牌后的ApLabz应用程序的服务条款仍然在某些条款中提及Holacode。
令人难以置信的是,在我甚至没有说出他的名字或向他发送评论请求之前,Cerutti就威胁要对我进行诽谤诉讼(Cerutti在一月份发送了这封未经请求的法律威胁,当时他的公司和我的名字只是在LinkedIn上一篇关于VexTrio的文章中被提及)。当被要求对Qurium和Infoblox的研究结果发表评论时,Cerutti强烈否认与VexTrio有任何关联。
Cerutti坚称他的公司在运营所在国家严格遵守所有法规,并且在所有业务方面都完全透明。“我们是一支活跃于广告和营销领域的团队,拥有附属网络体系,”Cerutti回应道。“我不是说我们完美无缺,但我强烈声明我们与VexTrio没有任何联系。”
“不幸的是,作为一个行业巨头,我们也必须应对大量的发布商欺诈、可疑流量、虚假点击、机器人程序、被黑客攻击以及被列入黑名单并再次出售的发布商账户等问题,”Cerutti继续说道,“我们因这些不当行为损失了大量资金,并定期开展内部筛查和审计,以持续打击不良流量来源。这依然是一个竞争激烈的领域,一些新入局者经常会对像我们这样的成熟主流参与者采取不正当手段。”
与Qurium合作,安全公司英菲博洛克斯的研究人员向其行业合作伙伴详细披露了VexTrio的基础设施信息。就在Qurium发布其发现后的四天内,LosPollos宣布暂停其推送变现服务。不到一个月,Adspro更名为全球目标。
一个揭示性的转折点发生在2025年3月,GoDaddy的研究人员记录了DollyWay——一种在整个八年活跃期间始终将受害者重定向到VexTrio的恶意软件家族——如何在2024年11月20日突然停止这一行为。一夜之间,DollyWay以及其他先前依赖VexTrio的多个恶意软件家族开始通过另一个名为Help TDS的TDS分发流量。深入研究历史DNS记录和Help TDS使用的独特代码脚本后,英菲博洛克斯确认其与VexTrio长期存在独家合作关系(至少直到LosPollos在11月结束其推送变现服务为止)。
在今天发布的报告中,英菲博洛克斯表示,通过对VexTrio和Help TDS使用的JavaScript代码、网站诱饵、智能链接和DNS模式进行详尽分析,发现了至少四个其他TDS运营商(不包括TacoLoco)。这四个实体——伙伴之家、布罗普什、里奇广告和雷克斯推——都是俄罗斯的推送变现项目,支付附属机构推动各种方案的注册,但主要是在线约会服务。
“随着LosPollos推送变现结束,我们注意到伙伴之家的虚假验证码数量增加,这些验证码促使用户接受推送通知,”英菲博洛克斯的报告写道。“这些商业实体之间的关系仍是个谜;虽然他们显然是长期合作伙伴,互相重定向流量,并且都有俄罗斯背景,但没有明显的共同所有权。”
英菲博洛克斯威胁情报副总裁蕾妮·伯顿表示,安全行业通常将VexTrio和其他恶意TDS使用的欺骗方法视为一种法律灰色地带,主要与不太危险的安全威胁相关,例如广告软件和恐吓软件。但伯顿认为这种观点是短视的,并助长了暗网广告技术行业的存在,该行业还推送大量纯粹的恶意软件,她指出每年有数十万个被攻破的网站将受害者重定向到VexTrio及其附属TDS的复杂网络中。
“这些TDS是一个邪恶的威胁,因为它们可以连接到信息窃取者和骗局的交付,这些骗局每年给消费者造成数十亿美元的损失,”伯顿说。“从更大的战略角度来看,我的看法是俄罗斯有组织犯罪控制着恶意广告技术,而这些只是许多涉及的团体中的几个。”
你能做什么?
正如KrebsOnSecurity早在2020年指出的那样,在浏览网页时慎重批准通知是个明智之举。在许多情况下,这些通知是无害的,但正如我们所见,有许多可疑的公司正在付费给网站所有者安装他们的通知脚本,然后将这些通信路径转售给骗子和网上推销员。
如果你想永久禁止网站发送通知,所有主要浏览器制造商都允许你这样做——要么全面禁止,要么针对每个网站。尽管完全屏蔽通知确实可能影响某些网站功能,但对于你为技术能力较低的朋友或家人管理的设备而言,这样做最终可能会为所有人节省很多麻烦。
要修改Mozilla Firefox中的站点通知设置,请导航至设置、隐私与安全、权限,并点击“通知”旁边的“设置”选项卡。该页面将显示已允许的通知,并允许你编辑或删除任何条目。勾选“阻止新的请求允许通知”旁边的框,以完全停止它们。
在Google Chrome中,点击地址栏右侧的三个点图标,滚动到底部的设置、隐私和安全、站点设置和通知。如果你想永久禁止网站发送通知,请选择“不允许网站发送通知”按钮。
在苹果的Safari浏览器中,前往设置、网站,并在侧边栏中点击通知。如果你想完全关闭通知请求,请取消勾选“允许网站请求发送通知”选项。
(以上内容均由Ai生成)
