WordPress-сайты превращают в инструменты кибератак: как VexTrio и хакеры управляют сеткой зараженных сайтов

Хакеры из группы VexTrio, а также связанные с ними, действующие под именами Help TDS и Disposable TDS, используют WordPress‑саиты для распространения вредоносного контента. Они развернули разветвлённую схему, выдающуюся глубиной и масштабом.

Некоторые из вредоносных рекламных компаний подуправлением VexTrio Viper включают Los Pollos, Taco Loco и Adtrafico. Эти компании управляют так называемой рекламной партнерской сетью, которая связывает злоумышленников, на чьи сайты попадают ничего не подозревающие пользователи, и так называемых «рекламных партнеров», которые предлагают различные формы незаконных схем, таких как мошенничество с подарочными картами, вредоносные приложения, фишинговые сайты и мошенничество.

Операции VexTrio пострадали примерно в середине ноября 2024 года после того, как Qurium раскрыл , что швейцарско-чешская рекламная компания Los Pollos является частью VexTrio, в результате чего Los Pollos прекратили монетизацию push-ссылок. Это, в свою очередь, вызвало исход, заставив злоумышленников, которые в значительной степени полагались на сеть Los Pollos, перейти на альтернативные пункты назначения перенаправления, такие как Help TDS и Disposable TDS.

VexTrio — одна из многих TDS, которые были представлены как коммерческие рекламные компании, другие — Partners House, BroPush, RichAds, Admeking и RexPush. Многие из них ориентированы на службы push-уведомлений, используя Google Firebase Cloud Messaging (FCM) или специально разработанные скрипты на основе Push API для распространения ссылок на вредоносный контент через push-уведомления.