- Las notificaciones push ahora se están utilizando como sistemas de entrega de malware, y los usuarios se suscriben sin saberlo a ellos
- Las indicaciones falsas de Captcha ahora son la puerta de entrada a los persistentes secuestros del navegador y los ataques de phishing
- Los sitios de WordPress están secuestrando silenciosamente a los usuarios a través de comandos DNS invisibles y cargas de JavaScript compartidas
Investigaciones recientes han revelado una alianza preocupante entre los piratas informáticos de WordPress y las compañías comerciales de Adtech, creando una vasta infraestructura para distribuir malware a escala global.
La investigación de la amenaza infoBlox Intel encontrada en el centro de esta operación es Vextrio, un sistema de distribución de tráfico (TDS) responsable de redirigir a los usuarios web a través de capas de anuncios falsos, redireccionamientos engañosos y notificaciones push fraudulentas.
El informe afirma que varias empresas comerciales, incluidas Los Pollos, Partners House y Richads, están enredadas en esta red, sirviendo como intermediarios y habilitadores.
Connection de Los Pollos y un cierre fallido
Informlox inicialmente vinculó a Los Pollos a Vextrio cuando el primero estaba implicado en las campañas de desinformación rusa.
En respuesta, Los Pollos afirmó que terminaría su modelo de “monetización de enlace push”.
A pesar de esto, la actividad maliciosa subyacente continuó a medida que los atacantes se trasladaron a un nuevo TDS conocido como Ayuda, que finalmente se vinculó con Vextrio.
Las vulnerabilidades de WordPress sirvieron como punto de entrada para múltiples campañas de malware, ya que los atacantes comprometieron miles de sitios web, incrustando los scripts de redirección maliciosa. Estos scripts se basaron en los registros DNS TXT como un mecanismo de comando y control, determinando dónde enviar visitantes web.
El análisis de más de 4.5 millones de respuestas DNS entre agosto y diciembre de 2024 reveló que aunque varias cepas de malware parecían separadas, compartieron la infraestructura, el alojamiento y los patrones de comportamiento que llevaron a Vextrio o sus representantes, incluidos TD de ayuda y TDS desechables.
JavaScript en estas plataformas exhibió las mismas funciones, deshabilitando los controles de navegación del navegador, forzando redireccionamientos y atrayendo a los usuarios con sorteo falso.
Curiosamente, estos TDS están integrados dentro de las plataformas comerciales de ADTech que se presentan como redes de afiliados legítimas.
“Estas empresas mantuvieron relaciones exclusivas con ‘Affiliados de editores’, en este contexto, los piratas informáticos, y conocían sus identidades”, señalaron los investigadores.
Las notificaciones push han surgido como un vector de amenaza particularmente potente. Los usuarios son engañados para que enciendan las notificaciones del navegador mediante el uso de indicaciones falsas de Captcha.
Los piratas informáticos luego envían enlaces de phishing o malware después de que un usuario se suscribe, evadiendo la configuración de firewall e incluso los mejores programas antivirus.
Algunas campañas enrutan estos mensajes a través de servicios confiables como Google Firebase, lo que dificulta significativamente la detección.
La superposición entre las plataformas ADTech, incluidas Bropush, Richads y Partners House, complica aún más la atribución.
Los sistemas DNS mal configurados y los scripts reutilizados sugieren un backend común, posiblemente incluso un entorno de desarrollo compartido.
Para abordar el riesgo, los usuarios deben evitar activar alertas sospechosas del navegador, usar herramientas que ofrecen acceso a la red de confianza cero (ZTNA) y ser cauteloso al usar las indicaciones de CaptCha.
Al actualizar WordPress y el monitoreo de las anomalías DNS, los administradores del sitio pueden reducir la probabilidad de compromiso.
Sin embargo, las empresas de Adtech podrían tener la palanca real y la clave para cerrar estas operaciones si eligen actuar.
