Opasna Alijansa: Hakeri WordPressa i Komercijalne Adtech Tvrtke
Najnovija istraživanja otkrila su zabrinjavajuću suradnju između hakerskih grupa na WordPressu i komercijalnih adtech tvrtki, stvarajući ogromnu infrastrukturu za distribuiranje malwarea na globalnoj razini. Prema zapažanjima Infoblox Threat Intel, u središtu ove operacije nalazi se VexTrio, sustav distribucije prometa (TDS) koji preusmjerava korisnike putem slojeva lažnih oglasa, obmanjujućih preusmjeravanja i lažnih push obavijesti.
Umreženost Komercijalnih Tvrtki
Izvještaj tvrdi da su brojne komercijalne tvrtke, uključujući Los Pollos, Partners House i RichAds, umiješane u ovu mrežu koja djeluje kao posrednici i olakšavači. Infoblox je prvotno povezao Los Pollos s VexTriom kada je ova firma bila uključena u ruske kampanje dezinformacija. Kao odgovor, Los Pollos je najavio ukidanje svog modela “monetizacije putem push linkova”. Unatoč tome, zlonamjerna aktivnost nastavila se, a napadači su prešli na novi TDS poznat kao Help, koji je kasnije opet povezan s VexTriom.
Korištenje WordPress Ranljivosti
Ranljivosti WordPressa poslužile su kao ulazna točka za brojne kampanje zlonamjernog softvera, jer su napadači kompromitirali tisuće web stranica, umetavši zlonamjerne skripte za preusmjeravanje. Ove skripte oslanjaju se na DNS TXT zapise kao mehanizam za zapovijedanje i kontrolu, određujući gdje slati web posjetitelje. Analiza više od 4,5 milijuna DNS odgovora između kolovoza i prosinca 2024. godine pokazala je da iako su različiti sojevi malwarea izgledali odvojeno, dijelili su infrastrukturu, hosting i ponašajne obrasce koji su svi vodili do VexTria ili njegovih proxyja, uključujući Help TDS i Disposable TDS.
Kako Push Obavijesti Postaju Opasne
Push obavijesti su se pokazale kao posebno opasna prijetnja. Korisnici su prevareni da uključe obavijesti preglednika korištenjem lažnih CAPTCHA predložaka. Nakon što se korisnik pretplati, hakeri šalju phishing ili malware linkove, izbjegavajući postavke vatrozida i čak najsofisticiranije antivirusne programe. Neke kampanje usmjeravaju ove poruke kroz pouzdane usluge poput Google Firebase, što znatno otežava otkrivanje.
Kompleksnost Attributiona
Preklapanje između adtech platformi, uključujući BroPush, RichAds i Partners House, dodatno komplicira proces pripisivanja. Neispravno konfigurirani DNS sustavi i ponovo korištene skripte sugeriraju zajedničku pozadinu, a moguće je čak i da postoji zajedničko razvojno okruženje.
Kako Se Zaštititi
Da biste umanjili rizik, korisnici bi trebali izbjegavati uključivanje sumnjivih obavijesti preglednika, koristiti alate koji nude pristup mreži s nultim povjerenjem (ZTNA) i biti oprezni kada koriste CAPTCHA poruke. Redovito ažuriranje WordPressa i praćenje DNS anomalija može smanjiti vjerojatnost kompromitacije. Međutim, adtech tvrtke možda posjeduju ključ za zatvaranje ovih operacija ako se odluče djelovati.
Zaključak
Suradnja između hakerâ i komercijalnih adtech tvrtki predstavlja ozbiljnu prijetnju cyber sigurnosti. S obzirom na sve složenije metode koje se koriste za prevaru korisnika, ključno je poduzeti korake za zaštitu vlastitih informacija. Ostanite informirani i zaštitite se od potencijalnih prijetnji u online prostoru.
