A fines del año pasado, los investigadores de seguridad hicieron un descubrimiento sorprendente: las campañas de desinformación respaldadas por Kremlin estaban evitando la moderación en las plataformas de redes sociales al aprovechar la misma tecnología publicitaria maliciosa que alimenta un ecosistema extenso de hucksters en línea y piratas informáticos de sitios web. Un nuevo informe sobre las consecuencias de esa investigación encuentra que esta industria de tecnología publicitaria oscura es mucho más resistente e incestuosa de lo que se conocía anteriormente. Imagen: infoBlox. En noviembre de 2024, los investigadores de la firma de seguridad del Corio publicaron una investigación sobre «Doppelganger», una red de desinformación que promueve narraciones pro-rusas e infiltra el panorama de los medios de Europa al empujar noticias falsas a través de una red de sitios web clonados. Las campañas de Doppelganger utilizan enlaces especializados que rebotan en el navegador del visitante a través de una larga serie de dominios antes de que se sirva el contenido de noticias falsas. El Corio encontró que Doppelganger se basa en un sofisticado servicio de «encubrimiento de dominio», una tecnología que permite a los sitios web presentar diferentes contenidos a los motores de búsqueda en comparación con lo que ven los visitantes regulares. El uso de los servicios de tubos ayuda a que los sitios de desinformación permanezcan en línea más tiempo de lo que lo harían, al tiempo que garantiza que solo la audiencia específica pueda ver el contenido previsto. El Corio descubrió que el servicio de encubrimiento de Doppelganger también promovió sitios de citas en línea, y compartió gran parte de la misma infraestructura con Vextrio, que se cree que es el sistema de distribución de tráfico malicioso (TDS) más antiguo que existe. Si bien las redes publicitarias legítimas utilizan comúnmente los TDS para administrar el tráfico de fuentes dispares y para rastrear quién o qué está detrás de cada clic, los TD de Vextrio gestiona en gran medida el tráfico web de las víctimas de phishing, malware y estafas de ingeniería social. Breaking Bad Davging más profundo, el Corio notó que el servicio de encubrimiento de Doppelganger usó un proveedor de Internet en Suiza como el primer punto de entrada en una cadena de redirecciones de dominio. También notaron que la misma infraestructura organizó un par de servicios de marketing de afiliación de marca compartida que impulsaban el tráfico a sitios de citas para adultos incompletos: Lospollos[.]com y tacoloco[.]co. La red de anuncios de Lospollos incorpora muchos elementos y referencias de la exitosa serie «Breaking Bad», reflejando la ficticia cadena de restaurantes «Los Pollos Hermanos» que sirvió como una operación de lavado de dinero para un violento cartel de metanfetamina. La red publicitaria de Lospollos invoca personajes y temas del exitoso programa Breaking Bad. El logotipo de Lospolos (arriba a la izquierda) es la imagen de Gustavo Fring, el propietario de la cadena de restaurantes de pollo ficticias en el programa. Los afiliados que se registran con Lospolos reciben «SmartLinks» pesados de Javascript que impulsan el tráfico a los TD de Vextrio, que a su vez distribuye el tráfico entre una variedad de socios publicitarios, incluidos servicios de citas, ofertas de sorteo, aplicaciones móviles de cebo y cebo, estafas financieras y sitios de descarga de malware. Los afiliados de Lospoles generalmente cosen estos enlaces inteligentes en sitios web de WordPress que han sido pirateados a través de vulnerabilidades conocidas, y esos afiliados ganarán una pequeña comisión cada vez que un usuario de Internet referido por cualquiera de sus sitios pirateados sea de uno de estos señuelos. La red de publicidad de Los Pollos se promociona en LinkedIn. Según el Corio, Tacoloco es una red de monetización de tráfico que utiliza tácticas engañosas para engañar a los usuarios de Internet para habilitar «notificaciones push», un estándar de navegador multiplataforma que permite a los sitios web mostrar mensajes emergentes que aparecen fuera del navegador. Por ejemplo, en los sistemas de Microsoft Windows, estas notificaciones generalmente se muestran en la esquina inferior derecha de la pantalla, justo encima del reloj del sistema. En el caso de Vextrio y Tacoloco, las solicitudes de aprobación de notificación son engañosas, disfrazadas de desafíos de «captcha» diseñados para distinguir el tráfico de BOT automatizado de los visitantes reales. Durante años, Vextrio y sus socios han engañado con éxito a innumerables usuarios para habilitar estas notificaciones del sitio, que luego se utilizan para pimentar continuamente el dispositivo de la víctima con una variedad de alertas de virus falsos y mensajes emergentes engañadores. Ejemplos de páginas de destino de Vextrio que llevan a los usuarios a aceptar notificaciones push en su dispositivo. Según un informe anual de diciembre de 2024 de GoDaddy, casi el 40 por ciento de los sitios web comprometidos en 2024 redirigieron a los visitantes a Vextrio a través de Lospoles SmartLinks. ADSPRO y Teknology, el 14 de noviembre de 2024, el Corio publicó una investigación para respaldar sus hallazgos de que Lospollos y Tacoloco fueron servicios operados por ADSPro Group, una compañía registrada en la República Czeca y Rusia, y que ADSPRO dirige su infraestructura en los Providers C41 y Teknology SA de suiza. El Corio señaló que los sitios de Lospolos y Tacoloco afirman que su contenido tiene derechos de autor por Bytecore AG y Skyforge Digital AG, ambas empresas suizas dirigidas por el propietario de Teknology SA, Giulio Vitorrio Leonardo Cerutti. Una investigación adicional reveló que Lospoles y Tacoloco fueron aplicaciones desarrolladas por una compañía llamada Holacode, que enumera a Cerutti como su CEO. Las aplicaciones comercializadas por Holacode incluyen numerosos servicios de VPN, así como uno llamado Spamshield que afirma detener las notificaciones push no deseadas. Pero en enero, Informlox dijo que probó la aplicación en sus propios dispositivos móviles y descubrió que oculta las notificaciones del usuario, y luego, después de 24 horas, dejó de ocultarlos y exige el pago. SpamShield cambió posteriormente su nombre de desarrollador de Holacode a Aplabz, aunque Infloxx señaló que los términos de servicio para varias de las aplicaciones de Aplabz renombradas aún hacen referencia a Holacode en sus términos de servicio. Increíblemente, Cerutti amenazó con demandarme por difamación antes de haber pronunciado su nombre o haberle enviado una solicitud de comentarios (Cerutti envió la amenaza legal no solicitada en enero después de que su compañía y mi nombre fueron simplemente etiquetados en una publicación de Inflox en LinkedIn sobre Vextrio). Cuando se le pidió comentar sobre los hallazgos del Corio e Informlox, Cerutti negó con vehemencia asociarse con Vextrio. Cerutti afirmó que todas sus empresas se adhieren estrictamente a las regulaciones de los países en los que operan, y que han sido completamente transparentes sobre todas sus operaciones. «Somos un grupo que opera en el espacio de publicidad y marketing, con un programa de red de afiliados», respondió Cerutti. «No soy [going] Decir que somos perfectos, pero declaro firmemente que no tenemos conexión con Vextrio en absoluto ”. «Desafortunadamente, como un gran jugador en este espacio, también podemos lidiar con un gran fraude de editores, tráfico incompleto, clics falsos, bots, pirateados, listados y revendidos de cuentas de editoriales, etc., etc.», continuamos Cerutti. También es un espacio altamente competitivo, donde algunos advenedizos a menudo jugarán sucios contra jugadores convencionales más establecidos como nosotros «. Trabajando con el Corio, los investigadores de la empresa de seguridad publicaron detalles sobre la infraestructura de Vextrio a sus socios de la industria. Pivot en marzo de 2025, los investigadores de Godaddy relataron cómo Dollyway, una cepa de malware que ha redirigido constantemente a las víctimas a Vextrio a lo largo de sus ocho años de actividad, de repente dejó de hacerlo el 20 de noviembre de 2024. Prácticamente durante la noche, Dollyway y varias otras familias de malware que habían usado anteriormente Vextrio comenzaron a presionar su tráfico TDS TDS llamado HELD TDS. La ayuda TDS, Inflox, determinó que ha disfrutado durante mucho tiempo una relación exclusiva con Vextrio (al menos hasta que Lospollos finalizó su servicio de monetización push en noviembre) en noviembre). Partners House, Bropush, Richads y Rexpush: son todos los programas de monetización de Rusia que pagan a los afiliados para impulsar los registros para una variedad de esquemas, pero principalmente los servicios de citas en línea, «a medida que finalizó la monetización de los pushos de Los Pollos, hemos visto un aumento en las capitán falsas que impulsan las notificaciones de los usuarios de las notificaciones, particularmente de la casa de los socios». Si bien ciertamente son socios desde hace mucho tiempo que redirigen el tráfico entre sí, y todos tienen un nexo ruso, no hay una propiedad común abierta «. Renee Burton, vicepresidenta de inteligencia de amenazas de Inflox, dijo que la industria de la seguridad generalmente trata los métodos engañosos utilizados por Vextrio y otros TDS maliciosos como un tipo de área legalmente gris que está en su mayoría asociada con amenazas de seguridad menos peligrosas, como Adware y Scareware, pero Burton argumenta que esta visión es miopic y ayuda a perpetuar una industria adtecular oscura que también impulsa un montón de malware, pero lo que discute a Milices de los kilos de mil. En todo el mundo, cada año redirige a las víctimas a la red enredada de Vextrio y Vextrio-afiliados a los TDS. Solo algunos de los muchos grupos involucrados «. ¿Qué puede hacer? Solicitudes, todos los principales fabricantes de navegadores le permiten hacer esto, ya sea en todos los ámbitos o en forma de trabajo. Seguridad, permisos y haga clic en la pestaña «Configuración» junto a «Notificaciones». Esa página mostrará cualquier notificación ya permitida y le permitirá editar o eliminar cualquier entrada. Para siempre.
