Ärgerlich und bösartig: Die gruselige Beziehung zwischen WordPress-Hackern und einer Adtech-Verschwörung

Was als Beobachtungsstudie begann – VexTrio stören und sehen, wie sie sich anpassen – führte zu einer Reihe überraschender Enthüllungen. Als ihr Traffic Distribution System (TDS) gestört wurde, migrierten mehrere Malware-Akteure, die davon abhängig waren, zu einem „neuen“ TDS, aber es war dasselbe TDS! Ursprünglich ging man von einem unabhängigen TDS aus, doch wir fanden Hinweise, die darauf hindeuteten, dass dies nicht der Fall war. Es wurde entdeckt, dass mehrere kommerzielle TDS Software-Elemente mit VexTrio gemeinsam hatten und von der langjährigen, exklusiven Beziehung von VexTrio zu Website-Malware-Akteuren profitierten. Schließlich wurde klar, dass die Verwendung von bösartiger Adtech zum Verhängnis für dominante Malware-Kampagnenbetreiber werden könnte, da die VexTrio-Gruppe sie identifizieren kann.

Am 13. November 2024 deckten Forscher von Qurium auf, dass das schweizerisch-tschechische Adtech-Unternehmen Los Pollos Teil von VexTrio war, dem größten und ältesten bekannten bösartigen TDS. Qurium stellte diese Verbindung her, nachdem es entdeckt hatte, dass der russische Desinformationsakteur Doppelganger „Smartlinks” von Los Pollos für seine Operationen nutzte. Einige Tage später koordinierten wir uns mit Qurium und gaben eine Reihe von Domains an verschiedene Partner aus der Sicherheitsbranche weiter. Wir hofften, dass dieser Doppelschlag VexTrio vorübergehend lahmlegen würde und wir durch Beobachtung ihrer Wiederherstellungsmaßnahmen ein besseres Verständnis ihrer Beziehungen zu Website-Malware-Akteuren gewinnen könnten.

Wir mussten nicht lange auf eine Reaktion warten. Am 17. November kündigte Los Pollos an, dass sie ihre sogenannte Push-Link-Monetarisierung einstellen würden; den Nutzern wurde mitgeteilt, dass diese Links „in Kürze“ deaktiviert würden. Aber was bedeutet das wirklich? Wie sich herausstellte, wurden innerhalb weniger Tage kompromittierte Websites auf der ganzen Welt, die mit verschiedenen WordPress-Schwachstellen und offenbar von verschiedenen Malware-Akteuren ausgenutzt worden waren, auf genau die gleiche Weise aktualisiert. Forscher von GoDaddy beschrieben beispielsweise, wie DollyWay, eine Malware, die während ihrer achtjährigen Aktivität Opfer konsequent zu VexTrio umgeleitet hatte, dies am 20. November 2024 plötzlich einstellte und Besucher zu einem scheinbar neuen TDS namens „Help TDS“ weiterleitete.

Aber DollyWay war nicht der einzige, der direkte Opfer an Help TDS weiterleitete. Seit Ende 2015 infizierten viele verschiedene Malware-Varianten WordPress-Seiten und leiteten Besucher zu VexTrio weiter. In ihrem Jahresbericht 2024 stellte GoDaddy fest, dass fast 40 Prozent der kompromittierten Websites, die Besucher weiterleiteten, diese über Los Pollos-Smartlinks zu VexTrio schickten. Diese Kompromittierungen führten zu verschiedenen Arten von Website-Injektionen, darunter solche, die GoDaddy als Balada, DollyWay und Sign1 bezeichnet, sowie unbenannte Injektionskampagnen. Bis Ende November begannen alle diese Akteure, die zuvor zu VexTrio geführt hatten, Help TDS zu verwenden oder stellten ihre Aktivitäten vollständig ein.

Los Pollos hatte seine Push-Monetarisierung eingestellt, aber sie sind nur ein Teil eines weitverzweigten kriminellen Unternehmens, das VexTrio bildet. Hatte VexTrio wirklich das Handtuch geworfen? Wir mussten herausfinden, ob Help TDS unabhängig war. Natürlich wandten wir uns für unsere Recherchen in erster Linie an DNS.

Um zu untersuchen, wie Malware-Akteure sich an die Störung angepasst und auf Help TDS umgestellt haben, haben wir eine bestimmte Art von WordPress-Kompromittierung untersucht. Diese Kampagnen nutzten DNS-TXT-Einträge als Mechanismus für Command and Control (C2), eine Technik, bei der der C2-Server eine URL in einem TXT-Eintrag verschlüsselt und die kompromittierte Website zu dieser URL weiterleitet. Die DNS-Abfrage enthält verschlüsselte Informationen über den Website-Besucher im Hostnamen, anhand derer der C2-Server bestimmen kann, wie er reagieren soll.

Durch die Analyse von 4,5 Millionen DNS-TXT-Eintrag-Antworten von kompromittierten Websites über einen Zeitraum von sechs Monaten (einschließlich des 17. November) haben wir festgestellt, dass die in den DNS-TXT-Eintrag-Kampagnen verwendeten Domains in zwei unterschiedliche Gruppen mit jeweils einem eigenen C2-Server fallen. Beide Server wurden in einer mit Russland verbundenen Infrastruktur gehostet, aber weder ihr Hosting noch ihre TXT-Antworten überschnitten sich. Jede Gruppe hatte unterschiedliche Umleitungs-URL-Strukturen, obwohl beide ursprünglich zu VexTrio und anschließend zu Help TDS führten. Diese Erkenntnisse werfen ein neues Licht auf die bisher nicht gemeldeten DNS-TXT-Malware-Kampagnen und liefern weitere Beweise dafür, dass nach der Ankündigung vom 17. November in mehreren scheinbar unabhängigen Malware-Kampagnen eine koordinierte Umstellung auf Help TDS stattfand.

Wir haben uns dann näher mit Help TDS und seiner Beziehung zu VexTrio befasst. Es stellte sich heraus, dass Help TDS nicht neu ist, sondern seit Jahren mit VexTrio verflochten ist. Die Forscher von GoDaddy hatten darauf hingewiesen, dass Help einem anderen TDS ähnelte, den sie als Disposable TDS bezeichnet hatten; auch dieser ist seit langem mit VexTrio verflochten. Unsere Ergebnisse deuten darauf hin, dass Disposable und Help TDS ein und dasselbe sind und bis November eine scheinbar exklusive Beziehung zu VexTrio hatten.

Bei weiteren Nachforschungen entdeckten wir viele andere TDS, die überraschend viele Gemeinsamkeiten mit VexTrio aufwiesen. Zu diesen Gemeinsamkeiten gehören gemeinsame Dateien und eine ähnliche URL-Struktur, die auf eine gemeinsame Code-Herkunft hindeuten. Während die Identität des Betreibers von Help TDS weiterhin unklar ist, konnten wir viele häufig vorkommende TDS als kommerzielle Adtech-Unternehmen entlarven, darunter Partners House, BroPush und RichAds. Mit dem Ende der Monetarisierung von Los Pollos haben wir eine Zunahme gefälschter CAPTCHAs beobachtet, die die Akzeptanz von Push-Benachrichtigungen durch die Nutzer fördern, insbesondere von Partners House. Die Beziehung zwischen diesen kommerziellen Unternehmen bleibt ein Rätsel. Zwar handelt es sich zweifellos um langjährige Partner, die den Datenverkehr untereinander umleiten, und alle haben einen Bezug zu Russland, doch gibt es keine offensichtlichen gemeinsamen Eigentümer.

Die Entscheidung der Malware-Akteure, kommerzielle Adtech-Technologie zu nutzen, könnte ihre Achillesferse sein. Als wir die Beziehungen zwischen den Website-Hackern und der VexTrio-Gruppe aufdeckten, stellten wir fest, dass es für jedes der Unternehmen eindeutige Identifikatoren für jeden Malware-Betreiber gibt. Diese Firmen überprüfen Netzwerkpartner, bevor sie ihnen den Beitritt gestatten – wir wissen das, weil wir es versucht haben – und sie speichern persönliche Informationen über die Partner und ihre Zahlungen, die zu ihrer Identifizierung führen könnten. Der wahre Test, ob es sich um missbrauchte Dienste handelt, wird ihre Bereitschaft sein, die böswilligen Akteure, die das Internet heimsuchen und Opfern weltweit unvorstellbare Geldsummen gestohlen haben, zu melden.

Ein wenig Fachjargon

Dieses Dokument setzt die Kenntnis einiger Begriffe aus der Werbebranche voraus. Am wichtigsten ist, dass ein TDS im Wesentlichen ein intelligentes Routing-System ist, das Website-Besucher zu Inhalten weiterleitet. Dieser Blogbeitrag über die Bereitstellung schädlicher Inhalte durch TDS und dieser Beitrag über die bösartige Adtech-Branche enthalten weitere Hintergrundinformationen und Fachbegriffe zu diesem Thema.

Zur kurzen Zusammenfassung: Ein bösartiges TDS ist ein System, das darauf ausgelegt ist, schädliche Inhalte an Benutzer zu liefern, sei es Malware wie Informationsdiebstahlprogramme oder Betrugsversuche. Wenn beispielsweise ein Malware-Betreiber eine Website kompromittiert, möchte er seine Gewinne maximieren und seine Aktivitäten verbergen. Durch die Umleitung der Besucher über ein TDS werden beide Ziele erreicht. Ein TDS „tarnt“ eine Domain oder eine Domain wird als „getarnt“ bezeichnet, wenn ihre bösartige Natur vor den Benutzern verborgen ist.

Ein TDS kann einfach sein und vom Malware-Betreiber kontrolliert werden. Sie können ihr eigenes System entwickeln, wie es vermutlich SocGholish getan hat, oder sie können einen kommerziellen Tracker wie Keitaro verwenden, der als TDS genutzt werden kann. Wenn sie jedoch möchten, dass Website-Besucher eine Vielzahl potenzieller Inhalte sehen, ist es eine kluge Strategie, den Nutzerverkehr über ein kommerzielles Affiliate-Netzwerk wie Los Pollos zu leiten. Der Fachbegriff für die bereitgestellten Inhalte lautet zwar „Werbung“, doch diese Inhalte ähneln selten gewöhnlichen Werbeanzeigen.

Abbildung 1 zeigt einen Überblick darüber, wie Affiliate-Werbenetzwerke von Website-Malware-Akteuren und vielen anderen genutzt werden. Die Malware-Verbreiter sind technisch gesehen „Publishing-Affiliates“ des Netzwerks, das sie in der Regel auf der Grundlage von „Aktionen“ bezahlt, die der Besucher, besser als Opfer bezeichnet, ausführt, darunter die Angabe von E-Mail- oder Kreditkartendaten. Die Werbetreibenden selbst sind böswillige Akteure und ihre Inhalte sind auf Täuschung ausgelegt. Sie werden manchmal als Werbe-Affiliates oder Partner bezeichnet.

Abbildung 1. Ein Überblick über die Rolle von Affiliate-Netzwerken in bösartigen Adtech-Netzwerken

Unter bösartiger Adtech verstehen wir kommerzielle Anbieter, die regelmäßig bösartige Inhalte liefern. In den meisten Fällen verfügen diese Unternehmen über einen geschlossenen Werbepool; anders als Google Advertising können sie nicht behaupten, betrogen worden zu sein. Stattdessen werben sie bei potenziellen Publishing-Partnern mit ihrer hochwirksamen Werbung, den sogenannten Angeboten.

Bösartige Adtech besteht oft aus mehreren Unternehmen, die verschiedene Bereiche der Branche bedienen. Los Pollos rekrutiert beispielsweise Publishing-Partner mit dem Versprechen hochdotierter Angebote, während sich das Schwesterunternehmen Taco Loco auf Push-Monetarisierung spezialisiert hat und Werbepartner rekrutiert, darunter auch solche von Los Pollos. Diese Kombination stellt sicher, dass VexTrio, der Controller beider Unternehmen, seine Gewinne maximiert.

Malware-Betreiber wie die hinter den DollyWay-Kampagnen integrieren sich über einen einzigen Link in bösartige Adtech. Dieser Link, der als „Smartlink” oder „Direktangebot” bezeichnet wird, leitet den Traffic in das Adtech-TDS. Der endgültige Inhalt wird oft als „Verticals” mit harmlosen Namen wie „Mainstream-Dating” und „Gewinnspiele” bezeichnet; dabei handelt es sich jedoch um Betrugsmaschen, gefälschte Apps oder Malware-Download-Seiten.

DNS-TXT-Eintrag-Kampagnen

Unsere ersten Untersuchungen begannen mit einer bestimmten WordPress-Malware, die wir über DNS verfolgen.

DNS-TXT-Einträge wurden ursprünglich zur Unterstützung des Online-E-Mail-Betriebs entwickelt, werden jedoch seit langem auch für andere Zwecke genutzt, sowohl für gute als auch für schlechte. Im Laufe der Jahre haben viele Akteure eine „nächste Stufe“ für Malware codiert, wodurch der autoritative DNS-Nameserver zu einem rudimentären C2-Server wurde. WordPress-Malware-Kampagnen, die DNS-TXT-Einträge auf diese Weise nutzten, um Opfer zu VexTrio umzuleiten, wurden erstmals von Sucuri im August 2023 gemeldet.

Bei diesen Kampagnen verwendeten die Angreifer bösartige Skripte, um DNS-TXT-Einträge mit einer Base64-verschlüsselten URL zu suchen. Die Skripte leiteten die Besucher dann anhand dieser Antworten weiter. Einige Monate später identifizierte Sucuri, dass die Angreifer auf serverseitige Weiterleitungen umgestellt hatten. Wir haben unsere Erkenntnisse zu diesen Kampagnen im Januar 2024 in Zusammenarbeit mit Randy McEoin veröffentlicht.

Der Jahresbericht 2024 von GoDaddy ergab, dass fast 25.000 Websites mit dieser Malware infiziert waren, und stellte fest, dass „die Entwicklung im Laufe des Jahres 2024 eine zunehmende Komplexität zeigte, insbesondere durch die Umstellung von clientseitigen JavaScript-Injektionen auf verstecktere serverseitige PHP-Weiterleitungen im März“. Sie betonten ferner, dass diese Änderungen mit Blick auf die Betriebssicherheit vorgenommen wurden und „vor allem die Kampagne durch automatisierte Bot-Netzwerke, die deaktivierte bösartige Plugins aktiv überwachen und reaktivieren, ihre Persistenz aufrechterhält, was eine vollständige Entfernung besonders schwierig macht“.

Unsere Analysesysteme verfolgen die Kommunikation zwischen den kompromittierten Websites und den C2-Servern über DNS, sodass wir neue C2-Server und Weiterleitungen identifizieren können, sobald sie online gehen. Wir nutzen diese Erkennungen auch, um die historischen Verbindungen zwischen den C2-Servern und den Weiterleitungen zu verstehen. Durch die Überwachung von DNS-Abfragen konnten wir Websites finden, für die es keine öffentlichen Hinweise auf eine Kompromittierung gab. Darüber hinaus haben wir uns selbst zum Opfer vieler Websites gemacht und die anhaltenden Auswirkungen auf unseren Geräten verfolgt.

In einer Langzeitstudie zu DNS-TXT-Record-Abfragen und -Antworten über einen Zeitraum von sechs Monaten (August bis Dezember 2024) haben wir untersucht, wie sich die Entscheidung von Los Pollos, sein „Push-Monetarisierungs“-Angebot einzustellen, auf die Malware-Aktivitäten ausgewirkt hat. Das letzte Mal, dass wir eine TXT-Datensatzantwort beobachtet haben, die zu VexTrio führte, war am 21. November 2024. Danach wurden die Opfer weitergeleitet zum Help TDS. Wir haben uns auf drei wichtige Fragen zu den Bedrohungsakteuren konzentriert, die die DNS-TXT-Datensatz-Malware einsetzen:

• In welcher Beziehung standen die C2-Domains zu den Weiterleitungs-URLs?
• Wie hat sich das C2-Verhalten Ende November verändert?
• Wie könnte sich dies auf VexTrio auswirken?

C2-Cluster

Eine Analyse von über 4,5 Millionen DNS-Abfragen ergab, dass es zwei unterschiedliche Gruppen von C2-Servern gibt. Während alle diese Server vor den operativen Änderungen zu VexTrio führten, verwendeten die beiden C2-Gruppen unterschiedliche Hosting-Dienste, leiteten zu unterschiedlichen Domänen um und verwendeten unterschiedliche URL-Formate. Abbildung 2 zeigt die C2-Server und die Domänen, die bei den Umleitungen beobachtet wurden und in den DNS-TXT-Einträgen gespeichert waren.

Abbildung 2: C2 reagiert mit Umleitungsdomänen in DNS TXT

Die Weiterleitungen aus den DNS-TXT-Einträgen führen alle zu einem TDS. Basierend auf unseren Untersuchungen können wir die URLs in fünf verschiedene Typen einteilen, von denen zwei erstmals am oder nach dem 20. November 2024 aufgetreten sind (siehe Tabelle 1).

URL parameter	Notes
pl=	Parameters like this example. These are classic VexTrio URLs that lead to fake captchas and requests for push monetization.
id=	Parameters like this example. These traditionally redirected to URLs with pl= parameters, but were later seen directing victims to other TDSs, like this example.
utm_campaign=	This example
No parameter	This example and this example.
URLs with no parameter and containing the /help/ path	Seen briefly in December 2024.
Table 1. The URL parameters observed in TXT records responses from malicious nameservers used in DNS TXT campaigns between August and December 2024

Bemerkenswert bei diesen TXT-Record-Kampagnen ist, dass nicht nur die Domains, sondern auch die TDSs in unterschiedliche Gruppen unterteilt sind, sodass in jeder Gruppe unterschiedlich formatierte URLs zu sehen sind. Alle führten jedoch vor dem 20. November zu VexTrio, manchmal über eine zweite Weiterleitung. Die mit dieser TXT-Record-Malware verbundenen Affiliates gibt es schon seit einiger Zeit. Set #1 hat die Benutzer-ID pe7k605 in Los Pollos Smartlinks und wurde erstmals im Mai 2019 entdeckt. Set #2 verwendet das Push-Link-URL-Format mit dem Parameter CHiI7Gh3GUyTa8XGgNqDyQ und wurde erstmals im August 2023 entdeckt.

Die C2-Sets verwendeten auch unterschiedliche Hosting-Dienste. In Tabelle 2 zeigen wir Hosting-Informationen basierend auf historischen DNS-Einträgen für diesen Datensatz. Der vollständige Satz von C2s und Weiterleitungsdomänen, der in den letzten Jahren beobachtet wurde, ist größer.

C2 Domains	Server IPs	Redirect Domains	URL Format
cndatalos[.]com data-cheklo[.]world data-infox[.]com	46[.]30[.]45[.]27 65[.]108[.]195[.]250	knowableuniverse[.]co deidrerealestate[.]co msgdetox[.]com participates[.]cfd	?id=/help/?
airlogs[.]net cloud-stats[.]com cdn-routing[.]com logs-web[.]com webdmonitor[.]io	185[.]11[.]61[.]37 185[.]234[.]216[.]54 185[.]161[.]248[.]253 95[.]216[.]232[.]139 95[.]216[.]232[.]139	betelgeuserigel.com vipbonusgain.top infosystemsllc[.]com adflowtube[.]com ecomicrolab[.]com lookup-domain[.]com dns-routing[.]com web-hosts[.]io	?pl=?utm_campaign?<rand>
Table 2. Relationships between C2 domains, server IP addresses, and redirect domains in DNS TXT record responses observed in the period August to December 2024

Verhaltensänderungen von C2

Trotz unabhängiger Hosting-Lösungen und Weiterleitungen änderten beide Sätze von DNS-TXT-C2-Servern ihr Verhalten auf dieselbe Weise, wenn auch zu leicht unterschiedlichen Zeitpunkten. Abbildung 3 zeigt, wie ein Besucher einer kompromittierten Website im Laufe der Zeit zu schädlichen Inhalten geleitet wurde.

Abbildung 3: Verhaltensänderungen im Zeitverlauf aus den beiden unabhängigen C2-Sätzen

Abbildung 3 zeigt uns, dass nach der Ankündigung von Los Pollos, die Monetarisierung von Push-Links einzustellen, die beiden C2-Server die DNS-TXT-Antworten geändert haben, um die Opfer direkt oder indirekt zum Help-TDS weiterzuleiten. Ein Satz (derjenige mit data-cheklo[.]world) reagierte zwischen dem 22. November und dem 6. Dezember nicht mehr. Später wurde er auf einem neuen Server, 46[.]30[.]45[.]27, beim Provider Iron Hosting entdeckt. Der zweite C2 wechselte ebenfalls den Host, jedoch zu Chang Way 185[.]11[.]61[.]37.

Es gibt einige Ausnahmen. Wir haben in wenigen Fällen beobachtet, dass der Iron Hosting-Server den Help TDS umging und die Opfer stattdessen direkt zu Vane Viper weiterleitete, wo Malware bereitgestellt wurde. Darüber hinaus haben GoDaddy-Forscher seltene Fälle gemeldet, in denen die DNS-TXT-Malware die Opfer auf eine andere kompromittierte Website weiterleitete und anschließend zu einem Tech-Support-Betrug umleitete.

Ende Dezember scheint der kleinere C2-Satz mit data-cheklo[.]world abgeschaltet worden zu sein. Der größere Satz mit webdmonitor[.]io leitet Opfer jedoch weiterhin bis Mai 2025 an den Help TDS und zu bösartigen Inhalten weiter.

Die DNS-Einträge zeigen, dass die beiden C2-Server wahrscheinlich von unabhängigen Gruppen betrieben werden, obwohl sie bei der Malware und den bereitgestellten Inhalten koordiniert vorgehen. GoDaddy berichtete, dass der DollyWay-Malware-Akteur am 20. November, dem gleichen Tag, an dem auch der erste TXT-C2-Server-Satz auf Help TDS umgestellt wurde, zu Help TDS gewechselt ist. Obwohl es Hinweise auf unabhängige Operationen gibt, gibt es auch klare Anzeichen für eine Koordination.

Was ist dieses Help TDS? Und warum haben sich die Hacker angesichts der vielen Optionen für Affiliate-Marketing-Programme alle für dasselbe TDS entschieden?

Nichts Neues unter der Sonne

Los Pollos hat die Push-Monetarisierung eingestellt, aber Los Pollos ist nur ein kleiner Teil von VexTrio. Wir vermuteten, dass der Help-TDS irgendwie mit VexTrio in Verbindung stand, und wir hatten Recht. Der Help-TDS war nicht nur untrennbar mit VexTrio verbunden, sondern wir konnten VexTrio auch mit anderen mysteriösen TDSs in Verbindung bringen, die seit mehreren Jahren in der Umgebung aktiv sind. Die Forscher von GoDaddy hatten vermutet, dass sich der Disposable TDS zum Help TDS weiterentwickelt hatte, aber sie sind eher wie Geschwister: Alle diese TDSs liefen gleichzeitig und hatten gemeinsame Merkmale. Wir können diese Verbindungen auf „alle erdenklichen Arten“ nachweisen, aber wir werden nur einen kleinen Teil der Beweise öffentlich zugänglich machen.

Werfen wir einen Blick auf die Beziehung zwischen den verschiedenen URL-Formaten, die wir im Laufe der Zeit in den DNS-TXT-Antworten gesehen haben.

TDS-Verhalten im Laufe der Zeit

Obwohl es scheinbar aus dem Nichts auftauchte, ist das Help-TDS keineswegs neu: Es gibt es mindestens seit 2017. Während dieses TDS nun Benutzer über das Monetizer-TDS umleitet, haben wir viele frühere Fälle gefunden, in denen das Help-TDS zu VexTrio umgeleitet hat. Abbildung 4 zeigt das TDS-Verhalten anhand von Umleitungs-URL-Mustern sowie Beispielscans, die die Beziehung zwischen den TDS zu verschiedenen Zeitpunkten verdeutlichen.

Abbildung 4: Entwicklung des TDS-Umleitungsverhaltens im Zeitverlauf anhand der drei wichtigsten URL-Formate, die in den DNS-TXT-Eintrag-Antworten kompromittierter Websites zu finden sind

GoDaddy hatte berichtet, dass die Malware-Akteure von DollyWay vor der Übernahme der Los Pollos-Links von VexTrio ausschließlich Disposable TDS verwendet hatten. Die URLs für Disposable TDS hatten das folgende Format:

<random_label>.<tld>/index/?<numbers>

Die TLDs wurden von Freenom verwaltet und kostenlos angeboten, darunter tk, gq und cf.

Wir haben fast sofort Beispiel-Weiterleitungsketten gefunden, die die Disposable TDS auch mit VexTrio verbanden. Der Scan in Abbildung 5 umfasste die Weiterleitung von der Disposable TDS zu einem Los Pollos-Smartlink, aber auch eine frühe Version des Help TDS-Formats, das die Disposable TDS-Domains verwendete. Von dort aus haben wir mehrere andere Beispiele isoliert, die dieselben Beziehungen aufwiesen.

Abbildung 5: Umleitung vom Einweg-TDS zu einem Los Pollos Smartlink. Quelle: https://urlscan.io/result/4bcef7a1-8188-4fe1-ab93-bd303803791a/

Historische Scan-Aufzeichnungen ermöglichen es uns, die WordPress-Malware-Akteure über ihren Wechsel von VexTrio-Smartlinks zu Monetizer Ende November 2024 hinweg miteinander in Verbindung zu bringen. In der Beispielumleitung aus Abbildung 5 wird die Domain co34[.]space für einen VexTrio-Smartlink für den Los Pollos-Partner verwendet, der durch den Parameter u=b1tk60t identifiziert wird. Diese URL enthält jedoch auch benutzerdefinierte Parameter, die vom Partner festgelegt wurden: t, das für Kampagnennamen verwendet wird, und cid, eine Klick-ID für Postbacks.¹ Das Format der Werte für diese Parameter ist identisch mit modernen Monetizer-URLs wie dieser:

hXXps://somenth[.]bilitere[.]shop/?utm_medium= {traffic_source_id}&utm_campaign=cid:11005&cid=11005-14814-202505160707555c5e

die mit WordPress-Malware-Kampagnen in Verbindung steht.² Es scheint, dass der Los Pollos Custom Tracker (t=) Wert cid:11005 mit dem größeren DNS-TXT-Datensatz verbunden ist, der ecomicrolab[.]com enthält. Innerhalb des Monetizer-Netzwerks verfügt derselbe Bedrohungsakteur über eine Affiliate-Quell-ID (utm_medium=) 9eb2bcdc89976429bc64127056a4a9d5d3a2b57a. Das erste Beispiel für eine Monetizer-URL in diesem Format, das wir beobachtet haben, fiel mit dem Wechsel der Adtech-Anbieter im November 2024 zusammen.

Wenn man einige solcher Beispiele gesehen hat, stellt sich die Frage, wie stark die Verbindung zwischen den TDS „Help“, „Disposable“ und „VexTrio“ ist. Wenn wir hier von VexTrio TDS sprechen, meinen wir mehrere verschiedene TDS, die vom Unternehmen VexTrio betrieben werden. Neben Los Pollos, das in Veröffentlichungen von Qurium und GoDaddy sowie in unseren Social-Media-Beiträgen aufgedeckt wurde, kontrolliert VexTrio weitere Adtech-Unternehmen und die TDS, die deren Betrieb ermöglichen. Dazu gehören Taco Loco und Adtrafico.

DNS-Verbindungen zwischen mehreren TDS

Es hat sich herausgestellt, dass DNS-Verbindungen zwischen dem VexTrio-TDS und anderen bösartigen TDS bestehen. Es ist jedoch schwierig zu bestimmen, ob diese Verbindung auf die Präsenz im TDS oder auf eine Beziehung zum Partner zurückzuführen ist. Partnerwerbungsprogramme wie Los Pollos und Monetizer ermöglichen die Verwendung benutzerdefinierter Domains, die nicht dem Unternehmen, sondern dem Partner gehören. Dies kann über DNS-CNAME-Einträge oder DNS-A-Einträge erfolgen. Dadurch können wir zwar die Beziehung zu einem Partner und verschiedenen TDS verfolgen, leider wird jedoch auch die wahre Natur der Beziehung zwischen dem Domaininhaber und dem TDS verschleiert.

Wir haben festgestellt, dass sich benutzerdefinierte Domains auf verschiedene Weise überschneiden. In einigen Fällen weist der Domaininhaber dem Partnerprogramm einen Hostnamen zu. Beispielsweise scheint der Domaininhaber von oktrkme[.]com, der unserer Meinung nach einer mexikanischen Marketingagentur gehört, sowohl ein Partner von Los Pollos als auch von Monetizer gewesen zu sein. Der Domainname date[.]oktrkme[.]com wurde im IP-Adressraum von VexTrio aufgelöst, während der Domainname mnz.oktrkme[.]com Ende April 2025 zu IP-Adressen von Monetizer aufgelöst wurde.

Während oktrkme[.]com offenbar einem Partner gehört, sind andere Fälle komplizierter. Die Domain purinagun[.]ru wurde im April 2024 über den russischen Registrar (reg[.]ru) registriert und sowohl in den Smartlinks von Los Pollos als auch im Help TDS verwendet. In diesem Fall sind keine Hostnamen beteiligt, aber es ist möglich, dass zu diesem Zeitpunkt eine DNS-CNAME-Zuweisung vorlag, sodass es unmöglich war, allein anhand des DNS zu überprüfen, ob die Domain direkt von beiden TDS-Betreibern kontrolliert wurde. Gemeinsame IP-Adressen zwischen purinagun[.]ru und pacocha[.]shop schaffen eine weitere ähnliche Verbindung zwischen den beiden TDS. Und eine dritte Domain, prefez[.]shop, zieht einen dritten TDS hinzu, den wir als „News TDS“ bezeichnet hatten und von dem wir nun wissen, dass er von dem kommerziellen Adtech-Unternehmen Partners House kontrolliert wird (siehe Abbildung 6).

Abbildung 6: Zusammenhang zwischen ausgewählten Domänen, die in TDS-URLs zu finden sind, und dem TDS

Die Wiederverwendung von Domains in verschiedenen TDS erschwert die Analyse der zugrunde liegenden Beziehungen zwischen den TDS selbst, bietet jedoch einen wirksamen Mechanismus, um verbundene Akteure, wie beispielsweise diejenigen, die Websites kompromittieren, über einen längeren Zeitraum hinweg miteinander zu verknüpfen. In diesem Fall können wir folgende Verbindungen herstellen:

• Der Los Pollos-Partner mit der ID u=bt1k60t und u=zt2kd0d
• Partners House-Partner mit der ID 1003455
• den Monetarisierer-Partner mit der ID 9eb2bcdc89976429bc64127056a4a9d5d3a2b57a

Wir können sehen, dass Malware-Akteure im Laufe der Zeit konsequent eine kleine Gruppe von TDS verwendet haben, aber gibt es noch mehr über die Beziehungen zwischen den TDS selbst zu erfahren? Wir sind zurück zum Help TDS gegangen, um nach Antworten zu suchen.

Help TDS-Verbindungen

Help TDS tauchte erstmals auf unserem Radar auf, als Los Pollos Ende November 2024 sein Push-Monetarisierungsangebot einstellte, aber es ist mindestens seit November 2017 in diesem Umfeld präsent. Aus Beispieldaten konnten wir erkennen, dass mehrere TDS im Laufe der Zeit miteinander interagierten, wie wir bereits in Abbildung 4 gezeigt haben. Welche weiteren Verbindungen gibt es?

Um zu verstehen, wie Help TDS mit anderen bekannten Bedrohungsakteuren interagiert hat, haben wir etwa 10.000 Website-Interaktionen aus den letzten sechs Jahren untersucht, die Help TDS in einer Umleitungskette enthielten. Die Besuche konnten zu einer Lockvogel-Landingpage wie Google oder TikTok führen, aber auch zu schädlichen Inhalten. Wir haben alle in den Scans gefundenen Umleitungen verwendet und diese mit unserem internen Wissen über DNS-Akteure angereichert. Abbildung 7 ist eine zusammengefasste Visualisierung von mehr als 120.000 URL-Weiterleitungen und den bekannten beteiligten Entitäten.

Abbildung 7: Beziehungen zwischen DNS-Akteuren oder Aktivitätsclustern, die bei Scans im Zusammenhang mit dem Help TDS zwischen November 2017 und Mai 2025 festgestellt wurden. Rote Markierungen kennzeichnen Akteure, die Infoblox als bösartig einstuft, orangefarbene Markierungen kennzeichnen verdächtige Akteure und grüne Markierungen kennzeichnen bekannte legitime Akteure.

Abbildung 7 veranschaulicht die Interaktionen zwischen VexTrio, dem Help-TDS, dem News-TDS (Push House) und einer Handvoll anderer Werbe- und TDS-Betreiber über einen langen Zeitraum hinweg. Wir sehen auch einige Interaktionen von kriminellen Akteuren wie Horrid Hawk, die für Domain-Hijacking bekannt sind. Andere DNS-Bedrohungsakteure, von denen einige TDS-Akteure sind, die wir verfolgen, aber nicht veröffentlicht haben, sind ebenfalls in der Grafik dargestellt. Langjährige Beziehungen, wie sie in dieser Analyse entdeckt wurden, haben uns geholfen, Theorien über TDS-Verbindungen zu validieren, aber auch mehrere neue TDS-Betreiber aufzudecken.

Eine gemeinsame Codebasis

Nachdem wir Verbindungen zwischen mehreren TDS über kompromittierte Website-Weiterleitungen hergestellt hatten, suchten wir nach Möglichkeiten, die TDS auf konkretere Weise miteinander zu verknüpfen. Wir konnten starke Beziehungen zwischen den TDS Help, Disposable und VexTrio anhand ihrer historischen Verwendung von Skripten, Bildern und URL-Strukturen identifizieren.

Es stellte sich heraus, dass die TDS Help und Disposable im Wesentlichen identisch sind. An verschiedenen Punkten seit 2017:

• verwendeten beide seltene Gewinnspiel-Lockbilder, die offenbar ausschließlich von einer relativ kleinen Gruppe von Bedrohungsakteuren, darunter VexTrio, verwendet werden.
• Beide Server hosteten VexTrio-exklusives JavaScript, das für die Funktionalität der Gewinnspielbetrügereien wichtig ist.
• Beide verwendeten dieselbe URL-Struktur und dieselben Parameternamen.

Während des größten Teils seiner Geschichte fungierte Help TDS wie Keitaro als einfacher Redirector. Wir haben jedoch Hinweise darauf gefunden, dass die TDS-Domains vor einigen Jahren gleichzeitig zur Bereitstellung von Lockseiten genutzt wurden. Bei einer Rückverfolgung bis ins Jahr 2019 haben wir zahlreiche Fälle entdeckt, in denen sowohl Help TDS als auch Disposable TDS direkt Inhalte für Gewinnspielbetrug bereitgestellt haben. Dazu gehörten seltene Lockbilder, die offenbar nur von einer kleinen Gruppe von Akteuren, darunter VexTrio, verwendet wurden (siehe Abbildung 8).

Abbildung 8. Seltenes Bild, das von VexTrio, Help und Einweg-TDSs als Lockmittel verwendet wird.

Die Websites, die die Gewinnspielinhalte bereitstellten, wiesen sogar identische URL-Strukturen und Parameternamen zwischen beiden TDS auf. Dies deutet darauf hin, dass beide Systeme dieselbe Technologie verwenden. Abbildung 9 zeigt das identische URL-Muster, das von beiden TDS verwendet wurde, um Webbesuchern Betrugsversuche zu liefern.

Abbildung 9. Identisches URL-Muster zwischen Hilfe und Einweg-TDSs

In Kombination mit den seltenen Lockbilden führten sowohl Help als auch Disposable TDS zwei seltene JavaScript-Skripte aus. VexTrio ist der einzige andere Akteur, der diese speziellen Skripte verwendet. Darüber hinaus hosten Help TDS und Disposable TDS die Skripte wie VexTrio direkt auf ihren Servern. Das bedeutet, dass sie den Code nicht nur von einem Remote-Server aus ausführen, sondern auch die vollständige Kontrolle über die Skripte haben. Die Bedrohungsakteure verschleiern in der Regel das JavaScript, um die Analyse durch Sicherheitsforscher zu erschweren (siehe Abbildung 10 für eine einfache Interpretation eines solchen Skripts). Dieses Skript verhindert, dass ein Webnutzer in seinem Browserverlauf zurücknavigieren kann (z. B. durch Klicken auf die Zurück-Schaltfläche). Stattdessen wird die aktuelle Seite im Browser neu geladen, anstatt die zuvor besuchte Seite anzuzeigen.

Abbildung 10. JavaScript verhindert die Navigation zu vorherigen Seiten über die Zurück-Schaltfläche

Abbildung 11. JavaScript verhindert das Verlassen der Seite ohne Teilnahme an einem Betrug

In den letzten Jahren hat Help TDS den Datenverkehr zu VexTrio und in jüngerer Zeit zu Monetizer umgeleitet. Help TDS hat eine starke Verbindung zu Russland, wobei Hosting und Domainregistrierung häufig über russische Unternehmen erfolgen. Es verfügt nicht über die volle Funktionalität der VexTrio-TDS und hat außer seinen unheimlichen Verbindungen zu VexTrio keine offensichtlichen kommerziellen Verbindungen. Auf der anderen Seite werden Help TDS und Disposable TDS ausgiebig, wenn nicht sogar ausschließlich, von Website-Malware-Betreibern genutzt, darunter auch diejenigen, die DNS-TXT-Record-Kampagnen durchführen, und DollyWay.

TDS-Ressourcenverbindungen

Wir haben unsere Beziehungsanalyse auf andere TDS ausgeweitet, die unterschiedliche Ähnlichkeiten mit VexTrio aufweisen. Die TDS-Betreiber haben digitale Spuren ihrer öffentlichen Identitäten im DNS hinterlassen, und wir haben diese Informationen genutzt, um mehrere TDS mit kommerziellen Unternehmen, darunter auch News TDS, in Verbindung zu bringen.

Die Verbindungen zwischen diesen TDS beschränken sich nicht nur auf Weiterleitungen innerhalb von URLs von kompromittierten Websites, sondern sie teilen auch mehrere seltene Artefakte, die sonst nirgendwo im Internet zu finden sind. In der Phishing-Landschaft verwenden Bedrohungsakteure häufig Phishing-Toolkits, die von anderen Cyberkriminellen verwendet werden, da es relativ einfach ist, die Phishing-Webmaterialien auf einen Webhosting-Dienst hochzuladen und eine funktionierende Website zu betreiben. Andererseits ist der Betrieb eines hochverfügbaren TDS kompliziert. Er erfordert einen tieferen Tech-Stack, wie z. B. Cluster von Webservern, Web-Tracking-Systeme, Echtzeit-Bietlogik, Affiliate-Zahlungsmodelle und manchmal auch fortgeschrittene DNS-Konfigurationen. Während Phishing-Kits im Handel erhältlich sind, gilt dies nicht für TDS, und wir waren überrascht, gemeinsame TDS-Komponenten bei mehreren kommerziellen Unternehmen zu finden.

Wir haben eine Reihe von Webressourcendateien entdeckt, die von VexTrio-TDS und mehreren anderen verwendet werden, darunter auch solche, die von den kommerziellen Unternehmen Partners House, BroPush und RichAds betrieben werden. Die Ressourcen sind wichtige Abhängigkeiten für das TDS, wie z. B. verlockende Bilder zum Anlocken von Webnutzern, JavaScript zum Tracking oder Browser-Cookie-Installationsprogramme. Die Seltenheit dieser Dateien lässt vermuten, dass diese Unternehmen möglicherweise durch Partnerschaften oder gemeinsame Entwickler denselben Code verwenden. Wir veröffentlichen keine vollständigen Details zu diesen Artefakten.

Die Dateien werden von etwa 20 verschiedenen TDS-Netzwerken verwendet, obwohl sich die Struktur ihrer jeweiligen URLs, die Unternehmensinhaberschaft oder das Hosting kaum überschneiden. Tabelle 3 beschreibt eine Teilmenge der von uns identifizierten Systeme, einschließlich ihrer URL-Struktur, Parameternamen und Parameterwertdeskriptoren.

Estimated Deployment Date	TDS Name / Attribution	TDS URL Format	Example TDS Domain
May 2019	BroPush	hXXps://{domain}/?p=[a-z][0-9]{23}&sub1={source_id}&sub2={site}	robotverifier[.]com
March 2021	BroPush	hXXps://{domain}/?auf=[a-z][0-9]+&p=[a-z]{1,2}&sub1={source_id}&sub2={feed_name}	di4[.]biz
June 2023	BroPush	hXXps://{domain}/?start=[12]&s=[a-z]{1}&t={campaign_id}&sub1={source_id}	w-news[.]biz
April 2019	VexTrio TacoLoco	hXXps://{domain}/ (lure_name:eyes-robot|space-robot|blue-robot|office-robot |allow-button)/?pl=[a-z][A-Z]{22}&sm={subscribe_method}&nrid={nrid}&hash={hash}&exp={epoch_expiration}	mvgde[.]mountbliss[.]top
March 2017	VexTrio Los Pollos	hXXps://{domain}/?u=[a-z][0-9]{7}&o=[a-z][0-9]{7}&t={campaign_name}	scoretopprizes[.]top
October 2020	VexTrio LosPollos	hXXps://{domain}/smartlink/?a=[0-9]{6}&sm=[0-9]{5}&mt=[0-9]{2}&s1={tracker}	cdsecurecloud-dt[.]com
October 2021	Unknown	hXXps://{domain}/[a-z0-9-]{43}/?clck=[a-z0-9]{32}&sid=[0-9]{8}	phenotypebest[.]com
December 2021	Admeking	hXXps://{domain}/?lp=[a-z0-9]{6}&actoken=[a-z0-9-]{36}&sid={source_id}	news-abcd[.]cc
December 2018	VexTrio TacoLoco	hXXp://{domain}/(bot-check-[0-9]+| video-[0-9]+|adult-web[0-9]+|age-check-[0-9]+|porno-land-[0-9]+|checking-browser-[0-9]+)?h=[a-z=]{68}	i8b[.]wstbaw[.]com
August 2024	Partners House	https://{domain}/?fingerprint=[a-z0-9]{32}&i=[0-9]{1}&id=[0-9]{7}&traceId={trace_id}	702942e07c[.]hotbkebani[.]cc
July 2022	BroPush	hXXps://{domain}/go/[a-z0-9]{18}?sub2={feed_name}	siteforyou3d[.]com
November 2019	disposable TDS	hXXp://{freenom_domain}/index/?[0-9]{11,14}	ritardalarmser[.]gq
March 2020	Help TDS	hXXp://{domain}/index/?[0-9]{11,14}&extra_param_1=[a-z][0-9]{20}	f68wy7o9ezwwtqc1do[.]oscarey[.]my[.]id
August 2024	Partners House	“news” TDS	hXXps://{domain}/?drs=[0-9]+&id=[0-9]+&p1=[0-9]+&p2=[0-9]+&p3=[0-9]+&traceId=[a-z0-9-]{36} 0cc79f7666[.]news-xzomigu[.]cc
July 2024	Partners House	hXXps://{domain}/click/ssp/?id={base64_encoded_victim_details}	epicclicks[.]net
September 2019	Partners House	hXXps://{domain}/16/?site=1000619&sub1={site}&sub2={hour}&sub3={browser}&sub4={click_number}	rpn-news3[.]club
August 2022	RichAds	hXXps://{domain}/?q={click_id}&s={traffic_source}&var={u_id}&geo={geo}	6[.]lands[.]ninja
February 2024	RichAds	hXXps://{domain}/cl?c=[0-9]{8}&p=[0-9]{8}&cid={click_id}&sub1=[a-z0-9]{22}	sweetrnd[.]net
December 2019	RexPush	hXXps://{domain}/(lure_name:adult_video_[0-9]{1}|check_age)/[0-9]{4}/[a-z0-9]{32}/?sub3={browser_info} &sub2={os_info}&click_id={click_id}	b9ab1[.]rpbuildit[.]xyz
February 2017	Monetizer / Advertizer	hXXps://{domain}/utm_medium=[a-z0-9]{40}&utm_campaign=cid:[0-9]{5}&{optional_params}	somenth[.]bilitere[.]shop
Table 3. Different TDS URL structures that share rare artifacts and/or have been utilized by WordPress attackers for affiliate advertising networks

Gemeinsame Köder: Absicht oder Zufall?

Sechs verschiedene TDS, darunter auch diejenigen, die wir als VexTrio, Partners House und RichAds identifiziert haben, weisen einen gemeinsamen Nenner auf. In einem Großteil ihrer Cyberkampagnen verwendeten diese Systeme dieselben Vorlagenbilder, um Webbesucher dazu zu verleiten, auf einen gefälschten CAPTCHA-Button zu klicken. Der Button erteilt dem Werbenetzwerk auf betrügerische Weise die Erlaubnis, jederzeit Benachrichtigungen an den Browser des Opfers zu senden. Alle Systeme werden von Partnerprogrammen betrieben, die sich auf die Verbreitung von Links zu Inhalten über Push-Benachrichtigungen spezialisiert haben. Abbildung 12 zeigt eine Reihe von Bildködern, die direkt auf den sechs TDS-Servern gehostet werden. Bemerkenswert ist, dass

1. die sechs TDS nicht nur optisch identische Bildköder verwenden, sondern auch ihre SHA256-Datei-Hashwerte übereinstimmen. Das bedeutet, dass die Bilder genau die gleiche Größe und Auflösung usw. haben.
2. Nur sehr wenige TDS verwenden diese Bilder als Köder.
3. In fast allen Angriffsfällen über die sechs TDS hinweg sind die Bilder 1.png, 2.png, logo.png, bot.png oder man.png benannt.
4. Alle sechs TDS verwenden betrügerische Methoden, um Internetnutzer für bösartige Push-Benachrichtigungswerbung anzumelden.
5. Alle sechs TDS werden von großen öffentlichen Affiliate-Netzwerken betrieben, die sich auf Push-Werbung spezialisiert haben.
6. Diese Affiliate-Netzwerke verwenden ähnliche Methoden und Technologien, um Benachrichtigungen an ihre Abonnenten (d. h. die Opfer) zu senden.
7. Die Affiliate-Netzwerke verwenden in der Regel PowerDNS, eine Open-Source-Software-Suite zur Verwaltung von DNS-Servern.

logo.png:

man.png:

robot.png:

 

Abbildung 12. Von Push-Werbenetzwerken verwendete PNG-Bilder

Nachdem wir die sechs TDS identifiziert hatten, die denselben Köder verwenden, haben wir uns auf ihre DNS- und Web-Signaturen konzentriert, um die restlichen Ködervorlagen zu finden. Praktisch alle Vorlagenbilder enthalten eine falsche Nachricht, die Benutzer dazu verleitet, sich für bösartige Push-Benachrichtigungen anzumelden. Diese Nachrichten stehen fast immer im Zusammenhang mit einem gefälschten CAPTCHA-Test oder dem Zugriff auf verlockende, aber nicht vorhandene Inhalte. Abbildung 13 ist eine Collage, die wir aus verschiedenen „arbeitsplatztauglichen“ Köderbildern erstellt haben, die in der Vergangenheit von den sechs TDS verwendet wurden.

Abbildung 13: Sammlung nicht anstößiger Push-Benachrichtigungsvorlagen, die von VexTrio und eng verwandten TDS verwendet werden

Identifizierung über DNS

Zusätzlich zu den Lockbildern haben wir JavaScript-Code im Zusammenhang mit Benachrichtigungsabonnements und DNS-Muster analysiert, um die öffentlichen Aliase zu identifizieren, die mit diesen TDSs verbunden sind. Die Netzwerke verwenden mehrere Systeme, die unterschiedliche URL-Strukturen im HTTP-Datenverkehr aufweisen. Diese Variation erschwert die Analyse der Beziehungen zwischen den verschiedenen TDSs. Abbildung 14 zeigt fünf verschiedene Push-Werbe-Partnerprogramme, die verschiedene Technologien verwenden, ihre DNS-Ressourcennamen jedoch ähnlich formatieren. Wir haben passives DNS und eindeutiges JavaScript verwendet, um die Identitäten der TDS-Betreiber zu ermitteln: Partners House, BroPush, VexTrio’s TacoLoco, REXPUSH und RichAds.

Abbildung 14: Adtech-Netzwerke, deren TDS seltene Bilder, Skripte und DNS-Muster teilen

Wir haben außerdem festgestellt, dass sowohl VexTrio als auch Partners House auf ihren Servern PowerDNS, eine Open-Source-DNS-Server-Software, einsetzen. Obwohl PowerDNS sich in Antworten auf Netzwerk-Anfragen nicht explizit identifiziert, haben wir in den DNS-SOA-Einträgen vieler VexTrio- und Partners House TDS-Domains Hinweise auf dessen Verwendung gefunden. Abbildung 15 zeigt den Indikator „a.misconfigured.powerdns.server.hostmaster“ in einer Antwort auf eine DNS-SOA-Abfrage für die VexTrio-TDS-Domain „ospeau[.]com“. Dies tritt auf, wenn der Administrator eine Zone in PowerDNS lädt und die Zone Domains mit einem fehlenden oder ungültigen SOA-Wert enthält. Aufgrund der Fehlkonfigurationen der Server der Bedrohungsakteure konnten wir mehrere ihrer mit PowerDNS verbundenen IP-Adressen identifizieren.

Abbildung 15. PowerDNS-Indikator in einer DNS-SOA-Antwort von VexTrio TDS

Cyberkriminelle installieren und konfigurieren PowerDNS selten auf ihren Webservern, da die ordnungsgemäße Bereitstellung relativ fortgeschrittene DNS-Kenntnisse erfordert. Offensichtlich ist DNS ein wesentlicher Bestandteil der Cyberoperationen von VexTrio und Partners House. PowerDNS ist in der Lage, dynamisch auf Abfragen nach bestimmten Domainnamenmustern zu reagieren, was für TDS-Angreifer, die den Datenverkehr zu ihrer Infrastruktur kontrollieren möchten, ein leistungsstarkes Tool sein kann.

Push-Werbung ist beliebt

RichAds, BroPush, Partners House, VexTrio’s TacoLoco und RexPush sind auf Push-Werbung spezialisiert. Das Rückgrat des Adtech-Geschäfts ist der Push-Benachrichtigungsdienst. Bei diesen Unternehmen haben wir zwei Arten von Technologien entdeckt, mit denen Nutzer betrügerisch für Benachrichtigungen angemeldet werden. Diese Dienste ermöglichen es dem Unternehmen auch, Benachrichtigungen unbegrenzt an ihre Opfer zu senden, bis deren Abonnement gekündigt wird (d. h. die Benachrichtigungsberechtigungen im Browser entfernt werden). Die erste Technologie besteht darin, Benachrichtigungen über Firebase Cloud Messaging (FCM) zu versenden, einen von Google angebotenen Dienst, mit dem Entwickler Benachrichtigungen an Apps auf Android, iOS und im Web senden können. Das Versenden von Nachrichten über FCM ist eine leistungsstarke Verteilungsmethode, da sie Sicherheitsfirewalls umgeht, da die Browser der Opfer Benachrichtigungen von den Servern von Google und nicht von den Servern der Bedrohungsakteure erhalten. Zweitens haben die Partner auch speziell entwickelte Skripte verwendet, die die Push-API nutzen, eine Browserfunktion, mit der Webanwendungen Benachrichtigungen von einem Server empfangen können.

In den meisten Fällen wird das Skript, das Benutzer für den Benachrichtigungsserver des Angreifers (z. B. FCM, benutzerdefinierter Server) anmeldet, auf dem TDS-Server gehostet. Die Betreiber erschweren in der Regel die Codeanalyse des Skripts durch die Verwendung von Open-Source-Verschleierungswerkzeugen wie obfuscator[.io]. Vor einigen Jahren hat VexTrio Content Delivery Network (CDN)-Server eingesetzt, um Webressourcen (z. B. Push-Abonnement-Skripte) bereitzustellen, die für ihre betrügerischen Push-Werbeaktivitäten von entscheidender Bedeutung sind. Abbildung 16 zeigt eine gängige Konfiguration in einem Push-Abonnement-Skript von VexTrio. Der CDN-Server cdn[.]jmp-assets[.]com ist seit fast zwei Jahren in Betrieb und derzeit noch aktiv. Zum Zeitpunkt der Erstellung dieses Artikels rangiert die Domain jmp-assets[.]com laut VirusTotal unter den Top 100.000 aller Domains. Dies unterstreicht die breite Angriffsverteilung und den Zugang zu einer skalierbaren Infrastruktur mit hoher Kapazität, über die der Angreifer verfügt.

Abbildung 16. Kritische VexTrio-Serverdomänenkonfigurationen im Push-Abonnementcode

Eine wesentliche Einschränkung von FCM besteht darin, dass es keine integrierte Funktion gibt, um direkt zu verfolgen, welche Benutzer oder Geräte bestimmte Themen abonniert haben, und dass es keine statistischen Verlaufsdaten zu zuvor gesendeten Nachrichten bereitstellen kann. Um dies zu umgehen, haben Adtech-Betreiber wie VexTrio eigene Tracking-Mechanismen implementiert, um aktuelle Abonnenten und historische Abonnements zu verfolgen. Abbildung 17 zeigt den von VexTrio entwickelten benutzerdefinierten Code. Diese Anwendung sendet Informationen über das Opfer (z. B. Browsersprache, Systeminformationen, Gerätetyp) und dessen eindeutige FCM-Token-ID an einen speziellen, von VexTrio kontrollierten Tracking-Server (z. B. notification-centr[.]com). Anschließend nutzt VexTrio all diese Informationen, um den abonnierten Opfern über Push-Benachrichtigungen gezielte Werbung zu senden.

Abbildung 17. Eine VexTrio-Codefunktion, die die Push-Abonnementaktivitäten der Nutzer verfolgt

Obwohl diese Adtech-Unternehmen in verschiedenen Ländern registriert sind und kommerziell unabhängig zu sein scheinen, deuten die hier offengelegten und andere Artefakte darauf hin, dass die TDS, die den Kern der Geschäftstätigkeit jedes Unternehmens bilden, eng miteinander verflochten sind. Die genaue Art ihrer Beziehung ist jedoch unklar. Klar ist jedoch, dass diese Unternehmen von einer Vielzahl von Cyberverbrechen profitieren und diese ermöglichen, darunter die Ausbeutung von Millionen von Websites, die Opfer in ihre Fänge locken.

Wer sind die TDS-Betreiber?

Die eindeutige Zuordnung eines TDS zu einem Adtech-Unternehmen oder einem anderen Akteur ist schwierig, aber wir haben einige identifiziert.

Die Zuordnung von TDS-URL-Mustern zu öffentlichen Affiliate-Netzwerk-Entitäten ist eine besondere Herausforderung, da ein Großteil ihrer Infrastruktur geheim gehalten und hinter Proxys (z. B. Cloudflare) oder bulletproof Hosting versteckt ist. Beispielsweise kennen die meisten Affiliates dieser Werbenetzwerke ihre tieferen Geschäftspraktiken nicht, geschweige denn einen nennenswerten Teil ihrer gesamten Domain-Assets. Adtech-Betreiber teilen in der Regel eine kleine Anzahl von „Front-End“-TDS-Domains mit ihren Publisher-Affiliates. Sie geben keine Informationen über missionskritische und zentrale Server im Netzwerk weiter. Darüber hinaus verwenden sie eine Vielzahl von Server-Software und URL-Parametern, die es besonders schwierig machen, verschiedene TDS unter einem Netzwerklabel zu gruppieren und zu kategorisieren. Ganzheitlich betrachtet weisen die Netzwerke Merkmale auf, die mit einer Werbeaktivität übereinstimmen. Darüber hinaus verschleiern sie ihre Aktivitäten innerhalb des legitimen Web-Werbeverkehrs durch die Verwendung von Lookalike-Domains und Skriptnamen, die Werbetechnologien imitieren.

Trotz dieser Umstände konnten wir dank der gewohnten Konfigurationspraktiken der Adtech-Betreiber im DNS, der Wiederverwendung seltener Web-Artefakte, der fehlenden Löschung digitaler Spuren ihrer früheren Aktivitäten und anderer IT-Abkürzungen, die uns die Möglichkeit gaben, sie zu verfolgen und zu identifizieren, eine genaue Identifizierung erreichen. Beispielsweise haben wir die TDS anhand gemeinsamer Subdomain-Muster, identischer oder sehr ähnlicher Push-Abonnement-Skripte sowie durch Verknüpfung ihrer alten Domains in passiven DNS mit zwischengespeicherten Webseiten, auf denen sie für ihre öffentlichen Firmennamen werben, analysiert und gruppiert. Tabelle 4 listet mehrere öffentliche Namen von TDS-Betreibern auf, die entweder zu VexTrio gehören oder eine enge Partnerschaft mit ihnen zu haben scheinen.

Operators	TDS Description
VexTrio companies, including Los Pollos, Taco Loco, and Adtrafico	VexTrio is a group of malicious adtech companies that distribute scams and harmful software via different advertising formats, including smartlinks and push notifications.Example params: u=, o=, pl=
Possibly independent operator in VexTrio circle; Identity unknown	Help TDS and Disposable TDS run Keitaro software on their servers and previously redirected victims to VexTrio infrastructure. They also distributed rare scam content used by VexTrio.Example paths: /help/, /index/
Partners House	Partners House is owned by Push House and is a push advertising platform that tricks users into subscribing to its push notifications via fake CAPTCHAs and adult-themed lures.Example params: fingerprint=, id=, traceId=, drs=
BroPush	Push advertising platform that tricks users into subscribing via lures related to fake CAPTCHAs, adult content, cinema, music, and news.Example params and folders: p=, /go/
RichAds	Distributes advertising via Telegram Mini Apps, push advertising, pop ads, and native ads.Example params: q=, s=, var=, geo=
RexPush	A push advertising affiliate that uses adult-themed and robot CAPTCHA lure images to trick users into subscribing to their notifications.Example params: sub3=, sub2=, click_id=
Pushtorm	Pushtorm is a push notification service that enables website owners to subscribe web visitors to push notifications and send them targeted messages. Pushtorm users can also sell excess traffic within the service. This service is heavily used by Rich Audience and there are indicators that Pushtorm is controlled by them.Subscription server: hXXps://pushtorm[.]net/System/AddSubscriber
Rich Audience	Platform connects publishers and advertisers, and distributes ads via formats: display, video, rich media, and native.Example params: domain=, clickid=, extclickid=
Monetizer/Advertizer	A monetization platform that uses TDS technology to connect web traffic from publisher affiliates to advertisers.Examples params: utm_medium=, utm_campaign=
Table 4. Concise table summary of advertising affiliate networks that we identified via TDS DNS analysis

Wer sind die Website-Hacker?

Die Adtech-Firmen wissen es.

Jedes Jahr werden weltweit Hunderttausende von kompromittierten Websites Opfer von Weiterleitungen in das verworrene Netz von VexTrio und den mit VexTrio verbundenen TDS. Nicht nur im letzten Jahr, sondern seit 2017, möglicherweise sogar schon seit 2015. In Zusammenarbeit mit anderen Forschern haben wir mehrere hundert eindeutige VexTrio-Partner-IDs identifiziert, die mit diesen Hackern in Verbindung stehen. Zu diesen Partnern gehören „namenlose“ Akteure wie der zuvor beschriebene GitHub-Repo-Akteur und „namhafte“ Bedrohungsakteure wie SocGholish und ClearFake. Wie können die Partner identifiziert werden?

VexTrio und die anderen Affiliate-Werbeunternehmen wissen, wer die Malware-Akteure sind, oder verfügen zumindest über genügend Informationen, um sie aufzuspüren. Viele der Unternehmen sind in Ländern registriert, die ein gewisses Maß an „Know Your Customer“ (KYC) verlangen, aber auch ohne diese Anforderungen werden Affiliates von ihren Kundenbetreuern überprüft. In der Regel müssen Affiliates nachweisen, wie sie Smartlinks veröffentlichen, die zum TDS des Netzwerks führen. Zwar gibt es einige Behauptungen, dass es einfach ist, den Überprüfungsprozess zu bestehen, aber es gibt noch mehr verwirrte Möchtegern-Partner, die abgelehnt werden. Los Pollos sammelt Informationen wie Telegram-Konten und bezahlt die Partner über Kryptowährungs-Wallets.

Viele Werbenetzwerke argumentieren, dass sie nicht für böswillige Partner verantwortlich sein können, die ihre Systeme missbrauchen; schließlich stellen sie nur eine Verbindung zwischen einem Publisher und einem Werbetreibenden her. Aber diese Behauptungen ziehen bei Unternehmen wie Los Pollos nicht. Sie überprüfen sowohl ihre Publisher-Partner als auch die Qualität der Werbung, für die sie Traffic erhalten. Dadurch verfügen sie nicht nur über Informationen, die zur Störung globaler WordPress-Hacker führen können, sondern kennen auch die Identität der Betrüger, mit denen sie unschuldige Website-Besucher in Verbindung bringen.

Indikatoren

Eine Auswahl aktueller und historischer Indikatoren zu den in diesem Dokument beschriebenen Affiliate-Netzwerken für bösartige Werbung finden Sie in unserem GitHub-Repository hier. Außerdem haben wir eine Tabelle (siehe Tabelle 5) mit Beispielparametern für Affiliates erstellt, die mit Website-Kompromittierungen oder der Verbreitung bösartiger Links in Verbindung stehen. Tabelle 6 enthält TDS-Domains, die wir in diesem Dokument beschrieben haben und die mit bösartigen Adtech-Affiliate-Programmen in Verbindung stehen.

Affiliate Parameter	Notes
u=pe7k605	VexTrio affiliate associated with DNS TXT record campaigns. First seen 2019.
pl=CHiI7Gh3GUyTa8XGgNqDyQ	VexTrio affiliate associated with DNS TXT record campaigns. First seen 2023.
utm_medium=9eb2bcdc89976429bc64127056a4a9d5d3a2b57a	Monetizer affiliate associated with DNS TXT record campaigns. First seen November 24, 2024. This appears to be Los Pollos affiliate bt1k60t.
sub1=ct1qt1t109qc73fj4fsg	Partners House affiliate associated with DNS TXT record campaigns in November 2024.
id=1003455	Partners House affiliate that appears to be the same as Los Pollos affiliate (u=bt1k60t) and associated with DNS TXT record campaigns. Seen October 2024.
Table 5. Unique parameters for various malicious “publishing” affiliates

Domains	TDS Domain Owner
6[.]enlala[.]com 6[.]lands[.]ninja	RichAds
0[.]mo10[.]biz 0[.]se11[.]biz 0[.]to6s[.]biz 0[.]robotverifier[.]com 0[.]strongblackspaces[.]com 0[.]blueskyactivecontrol[.]com	BroPush
0605ee9ae7[.]hotbfocuhe[.]cc 01be885d26[.]hotbwixife[.]today 06254a045e[.]news-xkijeki[.]store 01afa41bf2[.]news-xceyuna[.]live 2765516796[.]news-xdujuwe[.]xyz	Partners House
7r6[.]fmqrsj[.]com 1azo7[.]iqfmvj[.]com 2rt[.]xcumpw[.]com d3l[.]wstbaw[.]com 3ic[.]ymehtq[.]com 2zhyl[.]iqfmvj[.]com gzeao[.]cavernexplorer[.]com gzeao[.]check-tl-ver-116-3[.]com gzeao[.]check-tl-ver-154-2[.]com mvgde[.]stonecoremason[.]com mvgde[.]runesmith[.]top mvgde[.]runicartisan[.]top mvgde[.]sec-tl-129-b[.]buzz mvgde[.]sec-tl-129-d[.]buzz	VexTrio
19a1[.]brpconnecta[.]digital 209c[.]brpteamwork[.]cc 43ff[.]rpstreamfx[.]xyz 5435[.]rpknowledge[.]xyz 9c3e1[.]rpdiscover[.]xyz c62a[.]rpbuildhub[.]xyz fe12[.]brpdataboxx[.]today	REXPUSH
Table 6. TDS domains operated by various advertising affiliate networks

Footnotes

1. https://help.scaleo.io/article/414-los-pollos-affiliate-network
2. https://urlscan.io/result/0196d747-03d5-774f-9c16-8f5eab774d2b

Quelle: Infoblox-Blog

Weiteres von Infoblox:

Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

Anlagebetrug 2.0: Die dunkle Seite sozialer Netzwerke

Telegram-Tango: Tanz mit einem Betrüger (Scammer)

---

Bild/Quelle: https://depositphotos.com/de/home.html