تدور الأحداث حول شبكة توزيع البرمجيات الخبيثة VexTrio وأنظمة توزيع حركة المرور (TDS) المرتبطة بها مثل Help TDS وDisposable TDS، مما يشير إلى أن هذه العملية الإجرامية المعقدة تشكل مؤسسة واسعة النطاق مكرسة لتوزيع المحتوى الضار.
توضح شركة Infoblox في تقرير معمق نشرته The Hacker News أن VexTrio هي مجموعة من شركات الإعلان الخبيثة التي توزع الاحتيالات والبرمجيات الضارة عبر تنسيقات إعلانية مختلفة، منها الروابط الذكية (Smartlinks) والإشعارات الفورية (Push Notifications).
شاهد ايضا:- انهيار سحابة Google يتسبب في توقف خدمات الذكاء الاصطناعي عالميًا
تشمل الشركات الإعلانية الخبيثة التابعة لـVexTrio Viper مثل Los Pollos وTaco Loco وAdtrafico، حيث تدير هذه الشركات شبكة تابعة تجارية تربط بين ناشري البرمجيات الخبيثة (الذين تستهدف مواقعهم المستخدمين) وشبكات إعلانية تقدم مخططات غير قانونية مثل الاحتيال على بطاقات الهدايا، التطبيقات الضارة، مواقع التصيد الاحتيالي، والعمليات الاحتيالية.
تعمل أنظمة توزيع حركة المرور الخبيثة على إعادة توجيه الضحايا إلى وجهاتهم عبر روابط ذكية أو عروض مباشرة. حسب شركة تهديدات DNS، تجند Los Pollos ناشري البرمجيات الخبيثة عبر وعود بعروض مالية مرتفعة، بينما تتخصص Taco Loco في تحقيق الدخل من الإشعارات الفورية وتجنيد شبكات إعلانية.
جانب آخر بارز في هذه الهجمات هو اختراق مواقع WordPress لحقن أكواد خبيثة تبدأ سلسلة إعادة التوجيه التي تنتهي بالبنية التحتية الاحتيالية لشبكة VexTrio. ومن أمثلة هذه الحقن Balada وDollyWay وSign1 وحملات سجلات DNS TXT.
توضح شركة GoDaddy في تقرير نُشر في مارس 2025 أن هذه السكريبتات تعيد توجيه زوار المواقع إلى صفحات احتيالية عبر شبكات وسطاء حركة المرور المرتبطة بـVexTrio، والتي تعتبر واحدة من أكبر شبكات التوزيع التابعة للجرائم الإلكترونية التي تستغل تقنيات DNS المتقدمة وأنظمة توزيع حركة المرور وخوارزميات توليد النطاقات لنشر البرمجيات الخبيثة والاحتيالات عبر شبكات عالمية.
تأثرت عمليات VexTrio في منتصف نوفمبر 2024 بعد كشف Qurium أن شركة Los Pollos السويسرية-التشيكية كانت جزءًا من VexTrio، مما أدى إلى توقف Los Pollos عن تحقيق الدخل من روابط الإشعارات الفورية، وهذا تسبب في هجرة المهاجمين الذين كانوا يعتمدون عليها إلى وجهات إعادة توجيه بديلة مثل Help TDS وDisposable TDS.
حلل Infoblox نحو 4.5 مليون استجابة من سجلات DNS TXT من مواقع مخترقة على مدى ستة أشهر، وأظهرت النتائج أن النطاقات المشاركة في حملات DNS TXT تنتمي إلى مجموعتين منفصلتين، لكل منهما خادم قيادة وتحكم (C2) مستقل.
أوضحت الشركة أن كلا الخادمين كانا مستضافين في بنية تحتية مرتبطة بروسيا، لكن لم يكن هناك تداخل بين استضافتهما أو استجابات سجلات TXT الخاصة بهما. كل مجموعة حافظت على هياكل مختلفة لعناوين URL لإعادة التوجيه، رغم أنهما كانتا في الأصل توجهان إلى VexTrio ثم إلى Help TDS.
كشفت أدلة إضافية أن Help TDS وDisposable TDS هما في الواقع نفس الخدمة، وكانا مرتبطين بعلاقة حصرية مع VexTrio حتى نوفمبر 2024. تاريخيًا، كانت Help TDS تعيد توجيه الحركة إلى نطاقات VexTrio، لكنها تحولت لاحقًا إلى Monetizer، وهي منصة تحقيق دخل تستخدم تقنية TDS لربط حركة الويب من الناشرين إلى المعلنين.
أشارت Infoblox إلى أن Help TDS لها روابط قوية مع روسيا، مع استضافة وتسجيل نطاقات يتم عبر كيانات روسية، ووصف المشغلين بأنهم مستقلون. وأضافت أن Help TDS لا تملك الوظائف الكاملة لأنظمة VexTrio ولا توجد لها علاقات تجارية واضحة سوى ارتباطاتها الغريبة مع VexTrio.
شاهد ايضا:- ConnectWise تقوم بتدوير شهادات توقيع الشيفرة لمنتجاتها بعد هجوم دولي
قالت رينيه بورتون، نائبة رئيس استخبارات التهديدات في Infoblox لـThe Hacker News، إن Help TDS تقوم الآن بإعادة التوجيه حصريًا إلى Monetizer. وأضافت أن هناك علاقة خاصة بين Help TDS وVexTrio، مما يشير إلى احتمالية وجود تنسيق مشترك. وأضافت أن الانتقال إلى Help TDS لا يعني بالضرورة الانتقال إلى نظام TDS جديد بالكامل.
تعد VexTrio واحدة من العديد من أنظمة TDS التي تم تصنيفها كشركات إعلان تجارية، ومن بين الأخرى Partners House وBroPush وRichAds وAdmeking وRexPush. كثير من هذه الشركات تركز على خدمات الإشعارات الفورية باستخدام Google Firebase Cloud Messaging (FCM) أو سكريبتات مخصصة تعتمد على Push API لتوزيع روابط لمحتوى خبيث عبر إشعارات فورية.
تُشير الشركة إلى أن مئات الآلاف من المواقع المخترقة حول العالم تقوم سنويًا بإعادة توجيه الضحايا إلى شبكة VexTrio وشبكات TDS التابعة لها.
تعرف VexTrio والشركات الإعلانية التابعة لها على من هم المهاجمون أو لديهم معلومات كافية لتعقبهم. العديد من هذه الشركات مسجلة في دول تطلب بعض إجراءات “اعرف عميلك” (KYC)، وحتى في غياب هذه المتطلبات يتم تقييم الناشرين من قبل مديري العملاء لديهم.
