コンテンツにスキップするには Enter キーを押してください

WordPressサイトが武器化:VexTrioとその関連企業が運営するグローバル詐欺ネットワーク

投稿日 2025年6月13日

Image

VexTrio Viper トラフィック配信サービス(TDS)の背後にいる脅威アクターは、Help TDSやDisposable TDSなどの他のTDSサービスとも関連しており、洗練されたサイバー犯罪の運営が独自の広範な企業であることを示しており、悪意のあるコンテンツを配信するように設計されています。

“VexTrioは、スマートリンクやプッシュ通知を含むさまざまな広告形式を通じて詐欺や有害なソフトウェアを配信する悪意のあるアドテック企業のグループです,” とInfobloxはThe Hacker Newsと共有した詳細なレポートで述べています。

VexTrio Viperの下にある悪意のあるアドテック企業には、Los Pollos、Taco Loco、Adtraficoが含まれます。これらの企業は、無意識のうちにユーザーがアクセスするウェブサイトを持つマルウェアアクターと、ギフトカード詐欺、悪意のあるアプリ、フィッシングサイト、詐欺などのさまざまな不正スキームを提供する「広告アフィリエイト」とを結びつける商業アフィリエイトネットワークを運営しています。

言い換えれば、これらの悪意のあるトラフィック配信システムは、被害者をスマートリンクや直接オファーを通じて目的地にリダイレクトするように設計されています。DNS脅威インテリジェンス企業によると、Los Pollosは高額のオファーを約束してマルウェア配信者(別名パブリッシングアフィリエイト)を募集し、Taco Locoはプッシュマネタイズに特化して広告アフィリエイトを募集しています。

これらの攻撃のもう一つの注目すべき要素は、WordPressサイトの侵害で、リダイレクトチェーンを開始する悪意のあるコードを注入し、最終的に訪問者をVexTrio詐欺インフラストラクチャに導くことです。このような注入の例には、BaladaDollyWaySign1、およびDNS TXTレコードキャンペーンが含まれます。

“これらのスクリプトは、VexTrioに関連するトラフィックブローカーネットワークを通じてサイト訪問者をさまざまな詐欺ページにリダイレクトします。VexTrioは、洗練されたDNS技術、トラフィック配信システム、ドメイン生成アルゴリズムを活用して、世界中のネットワークにマルウェアや詐欺を配信する最大のサイバー犯罪アフィリエイトネットワークの一つです,” とGoDaddyは2025年3月に発表したレポートで述べています。

VexTrioの運営は、2024年11月中旬にQuriumがスイス・チェコのアドテック企業Los PollosがVexTrioの一部であることを明らかにした後、打撃を受けました。これにより、Los Pollosはプッシュリンクマネタイズを停止し、Los Pollosネットワークに大きく依存していた脅威アクターがHelp TDSやDisposable TDSなどの代替リダイレクト先に移行することを引き起こしました。

Image
2つの独立したC2セットからの行動の変化

Infobloxの分析によると、6か月間にわたる侵害されたウェブサイトからの450万件のDNS TXTレコード応答の分析により、DNS TXTレコードキャンペーンの一部であったドメインは、それぞれ独自のコマンド・アンド・コントロール(C2)サーバーを持つ2つのセットに分類できることが明らかになりました。

“両方のサーバーはロシアに関連するインフラストラクチャでホストされていましたが、ホスティングもTXT応答も重複していませんでした,” と同社は述べています。”それぞれのセットは異なるリダイレクトURL構造を維持していましたが、どちらも元々はVexTrioに導かれ、その後Help TDSに導かれました。”

さらなる証拠により、Help TDSとDisposable TDSが同一であり、2024年11月までVexTrioとの「排他的な関係」を享受していたことが明らかになりました。歴史的にトラフィックをVexTrioドメインにリダイレクトしていたHelp TDSは、TDS技術を使用してパブリッシャーアフィリエイトから広告主へのウェブトラフィックを接続するマネタイズプラットフォームであるMonetizerに移行しました。

“Help TDSは強いロシアの関連性を持ち、ホスティングやドメイン登録は頻繁にロシアのエンティティを通じて行われています,” とInfobloxは述べ、運営者が独立している可能性があると説明しています。”VexTrio TDSsの完全な機能を持っておらず、VexTrioとの不気味なつながり以外には明らかな商業的関係はありません。”

VexTrioは、商業アドテック企業として明らかにされた多くのTDSの一つであり、他にはPartners House、BroPush、RichAds、Admeking、RexPushがあります。これらの多くは、Google Firebase Cloud Messaging(FCM)やPush APIベースのカスタム開発スクリプトを利用して、プッシュ通知を通じて悪意のあるコンテンツへのリンクを配信することを目的としています。

Image

“毎年世界中の何十万もの侵害されたウェブサイトが、被害者をVexTrioとVexTrio関連のTDSの複雑なネットワークにリダイレクトします,” と同社は述べています。

“VexTrioと他のアフィリエイト広告企業は、マルウェアアクターが誰であるかを知っているか、少なくとも彼らを追跡するのに十分な情報を持っています。多くの企業は、顧客を知る(KYC)をある程度要求する国に登録されていますが、これらの要件がなくても、パブリッシングアフィリエイトは顧客マネージャーによって審査されています。”

翻訳元: https://thehackernews.com/2025/06/wordpress-sites-turned-weapon-how.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です