揭秘由虚假验证码滋生的黑暗广告技术帝国

Posted on 2025-06-13

去年年底,安全研究人员发现了一个惊人的秘密:克里姆林宫支持的虚假信息活动绕过了社交媒体平台的审核机制,利用了与庞大的网络骗子和网站黑客生态系统相同的恶意广告技术。一份关于该调查后果的新报告发现,这个黑暗的广告技术行业比我们之前所知的更具韧性,也更加混乱。

图片:Infoblox。

2024 年 11 月,安全公司Qurium的研究人员发布了一项针对“ Doppelganger ”的调查,这是一个虚假信息网络,宣传亲俄言论,并通过克隆网站网络推送虚假新闻,渗透到欧洲媒体领域。

Doppelganger 活动使用专门的链接,将访问者的浏览器跳转到一系列域名,然后再提供虚假新闻内容。Qurium发现, Doppelganger 依赖于一种复杂的“域名隐藏”服务,该技术允许网站向搜索引擎呈现与普通访问者看到的内容不同的内容。使用隐藏服务可以帮助虚假信息网站在线停留更长时间,同时确保只有目标受众才能看到预期内容。

Qurium 发现,Doppelganger 的伪装服务也用于推广在线约会网站,并且与VexTrio共享大量相同的基础设施。VexTrio 被认为是现存最古老的恶意流量分发系统 (TDS)。虽然合法广告网络通常使用 TDS 来管理来自不同来源的流量并追踪每次点击背后的人员或内容,但 VexTrio 的 TDS 主要管理来自网络钓鱼、恶意软件和社会工程诈骗受害者的网络流量。

绝命毒师

深入挖掘后,Qurium 发现 Doppelganger 的伪装服务使用瑞士的一家互联网服务提供商作为域名重定向链的第一个入口点。他们还注意到,同一基础设施托管着两个联合品牌的联盟营销服务,这些服务将流量引向可疑的成人约会网站: LosPollos[.]comTacoLoco[.]co

LosPollos 广告网络融合了 HBO 热播剧《绝命毒师》中的许多元素和参考资料,反映了虚构的“Los Pollos Hermanos”连锁餐厅,该连锁餐厅曾是暴力甲基苯丙胺贩毒集团的洗钱场所。

LosPollos 广告网络借鉴了热门美剧《绝命毒师》中的人物和主题。LosPollos 的标志(左上角)是剧中虚构的鸡肉连锁餐厅老板古斯塔沃·弗林的形象。

与 LosPollos 签约的会员将获得 JavaScript 密集型“智能链接”,这些链接会将流量引入 VexTrio TDS,后者又会将流量分配给各种广告合作伙伴,包括约会服务、抽奖活动、诱饵式移动应用程序、金融诈骗和恶意软件下载网站。

LosPollos 的附属机构通常会将这些智能链接插入通过已知漏洞被黑客入侵的WordPress网站,每当任何被黑客入侵的网站推荐的互联网用户陷入其中的陷阱时,这些附属机构就会赚取少量佣金。

Los Pollos 广告网络在 LinkedIn 上进行自我推广。

据 Qurium 称,TacoLoco 是一个流量盈利网络,它使用欺骗手段诱骗互联网用户启用“推送通知”。推送通知是一种跨平台浏览器标准,允许网站在浏览器之外显示弹出消息。例如,在 Microsoft Windows 系统上,这些通知通常显示在屏幕右下角——系统时钟的正上方。

在 VexTrio 和 TacoLoco 的案例中,通知批准请求本身就具有欺骗性——伪装成“验证码”挑战,旨在区分自动机器人流量和真实访客。多年来,VexTrio 及其合作伙伴成功诱骗无数用户启用这些网站通知,然后利用这些通知不断向受害者的设备发送各种虚假病毒警报和误导性弹出消息。

VexTrio 登录页面的示例,引导用户在其设备上接受推送通知。

根据GoDaddy 2024 年 12 月的年度报告2024 年近 40% 的受感染网站通过 LosPollos 智能链接将访问者重定向到 VexTrio

ADSPRO 和技术

2024 年 11 月 14 日,Qurium发表了研究报告来支持其调查结果:LosPollos 和 TacoLoco 是由在捷克共和国和俄罗斯注册的公司Adspro Group运营的服务,并且 Adspro 在瑞士托管服务提供商C41Teknology SA上运营其基础设施。

Qurium 指出,LosPollos 和 TacoLoco 网站声明其内容版权归ByteCore AGSkyForge Digital AG所有,这两家公司均为瑞士公司,由 Teknology SA 的所有者Guilio Vitorrio Leonardo Cerutti经营。进一步调查发现,LosPollos 和 TacoLoco 是由一家名为Holacode的公司开发的应用程序,Cerutti 是该公司的首席执行官。

Holacode 推广的应用包含众多 VPN 服务,以及一款名为Spamshield的应用,该应用声称可以拦截不必要的推送通知。但 Infoblox 于今年 1 月表示,他们在自己的移动设备上测试了这款应用,发现它实际上会向用户设备发送大量烦人的通知,然后收取费用才能阻止这些通知。Spamshield 随后将其开发者名称从 Holacode 更改为ApLabz ,但 Infoblox 指出,几款更名为 ApLabz 的应用的服务条款中仍然引用了 Holacode。

令人难以置信的是,在我提及 Cerutti 的名字或向他发出评论请求之前,Cerutti 就威胁要起诉我诽谤(早在 1 月份,他的公司和我的名字在 LinkedIn 上关于 VexTrio 的 Infoblox 帖子中被标记后,Cerutti 就主动发出了法律威胁)。

当被要求对 Qurium 和 Infoblox 的调查结果发表评论时,Cerutti 坚决否认与 VexTrio 有任何关联。Cerutti 坚称,他的公司均严格遵守其运营所在国的法规,并且所有运营活动均完全透明。

“我们是一家在广告和营销领域运营的集团,拥有一个联盟网络计划,”塞鲁蒂回应道。“我不会说我们是完美的,但我强烈声明,我们与 VexTrio 没有任何关联。”

“不幸的是,作为这个领域的巨头,我们也不得不应对大量的发行商欺诈、流量欺诈、虚假点击、机器人程序、被黑客入侵、被挂牌出售和转售的发行商账户等等,”Cerutti 继续说道。“我们为这些不正当行为付出了巨额成本,并定期进行内部筛查和审计,不断努力清除不良流量来源。这个领域竞争非常激烈,一些新秀经常会对我们这样更成熟的主流玩家耍些花招。”

安全公司Infoblox的研究人员与 Qurium 合作,向其行业合作伙伴发布了有关 VexTrio 基础设施的详细信息。Qurium 发布调查结果仅四天后,LosPollos 就宣布暂停其推送广告变现服务。不到一个月后,Adspro 更名为Aimed Global

思维导图展示了 Infoblox 和 Qurium 调查中的一些关键发现和联系。点击放大。

一个揭示性的转折点

2025 年 3 月,GoDaddy 的研究人员记录了DollyWay (一种在其八年活动中一直将受害者重定向到 VexTrio 的恶意软件)在 2024 年 11 月 20 日突然停止了这一行为。几乎在一夜之间,DollyWay 和其他几个之前使用 VexTrio 的恶意软件家族开始通过另一个名为Help TDS的 TDS 推送其流量。

通过进一步挖掘历史 DNS 记录和 Help TDS 使用的唯一代码脚本,Infoblox 确定它长期以来与 VexTrio 一直保持着独家合作关系(至少在 LosPollos 于 11 月结束其推送货币化服务之前)。

Infoblox 在今天发布的一份报告中表示,对 VexTrio 和 Help TDS 使用的 JavaScript 代码、网站诱饵、智能链接和 DNS 模式进行详尽分析后,发现它们与至少四家其他 TDS 运营商(不包括 TacoLoco)存在关联。这四家实体——Partners HouseBroPushRichAdsRexPush——都是俄罗斯的推送广告盈利项目,它们向联盟会员付费,以推动各种方案的注册,但主要针对的是在线约会服务。

Infoblox 报告指出:“随着 Los Pollos 推送货币化的结束,我们发现虚假验证码有所增加,这些验证码促使用户接受推送通知,尤其是来自 Partners House 的通知。这些商业实体之间的关系仍然是个谜;虽然它们肯定是长期合作伙伴,会将流量重定向到彼此,而且都与俄罗斯有联系,但并没有明显的共同所有权。”

Infoblox 威胁情报副总裁Renee Burton表示,安全行业通常将 VexTrio 和其他恶意 TDS 所使用的欺骗方法视为一种法律灰色地带,这种灰色地带大多与广告软件和恐吓软件等危险性较低的安全威胁有关。

但伯顿认为,这种观点是短视的,并有助于黑暗的广告技术行业持续存在,该行业也推动了大量的恶意软件,并指出全球每年有数十万个受感染的网站将受害者重定向到 VexTrio 和 VexTrio 附属 TDS 的错综复杂的网络中。

“这些TDS是一种邪恶的威胁,因为它们可能与信息窃取和诈骗等行为的传播有关,每年给消费者造成数十亿美元的损失,”伯顿说道。“从更宏观的战略角度来看,我认为俄罗斯有组织犯罪控制着恶意广告技术,而这些只是众多涉案团伙中的一部分。”

你能做什么?

正如 KrebsOnSecurity早在 2020 年就警告的那样,浏览网页时最好谨慎批准通知。很多情况下,这些通知都是良性的,但正如我们所见,许多不法公司向网站所有者付费安装他们的通知脚本,然后将这种通信途径转售给骗子和网络骗子。

如果您想阻止网站发出通知请求,所有主流浏览器厂商都允许您这样做——无论是全面阻止还是按网站阻止。虽然完全阻止通知确实会破坏某些网站的功能,但如果您为不太懂技术的朋友或家人管理所有设备,并为他们执行此操作,最终可能会为所有人省去很多麻烦。

要在Mozilla Firefox中修改站点通知设置,请​​前往“设置”、“隐私和安全”、“权限”,然后点击“通知”旁边的“设置”选项卡。该页面将显示所有已允许的通知,并允许您编辑或删除任何条目。勾选“阻止请求允许通知的新请求”旁边的复选框,即可完全阻止这些通知。

Google Chrome 浏览器中,点击地址栏右侧的三个点图标,向下滚动到“设置”、“隐私和安全”、“网站设置”和“通知”。如果您想永久禁止通知请求,请选择“不允许网站发送通知”按钮。

在 Apple Safari浏览器中,前往“设置”>“网站”,然后点击侧边栏中的“通知”。如果您想完全关闭通知请求,请取消勾选“允许网站请求发送通知的权限”选项。

原文: https://krebsonsecurity.com/2025/06/inside-a-dark-adtech-empire-fed-by-fake-captchas/