Эксперты по кибербезопасности раскрыли масштабную схему распространения вредоносного контента, организованную группой под названием VexTrio Viper (TDS). Эта система представляет собой платформу распределения трафика, которая перенаправляет пользователей на мошеннические сайты и вредоносные загрузки через рекламу, заражённые веб-ресурсы и push-уведомления.
VexTrio связана с другими подобными TDS-платформами — Help TDS и Disposable TDS, что свидетельствует о координированной деятельности внутри аффилированной киберпреступной инфраструктуры. Основные вредоносные кампании включают проекты Los Pollos, Taco Loco и Adtrafico, которые действуют через систему партнёрской рекламы, предлагая операторам вредоносных сайтов высокооплачиваемые схемы монетизации.
Частью этой схемы является компрометация сайтов на базе WordPress, в которые внедряются скрипты для скрытого перенаправления посетителей. Среди зафиксированных кампаний — Balada, DollyWay, а также массовое использование DNS TXT-записей для управления маршрутизацией трафика.
В результате масштабного анализа были выявлены две отдельные группы доменов, использующих разные серверы управления (C2), размещённые в инфраструктуре, связанной с Россией. После прекращения работы Los Pollos в конце 2024 года часть операций была перенесена на Help TDS, который позднее стал перенаправлять трафик через платформу Monetizer.
Среди других известных TDS-сетей, использующих push-уведомления и рекламные редиректы — BroPush, RichAds, Admeking и RexPush. Они задействуют технологии Push API и Firebase Cloud Messaging для доставки вредоносных ссылок на устройства пользователей.
Сотни тысяч взломанных сайтов ежегодно вовлекаются в эту сложную цепочку дистрибуции вредоносного трафик.
Более 1000 сайтов на WordPress были заражены вредоносным кодом
