El actor de amenazas conocido como Vane Viper ha operado durante más de una década como proveedor de tecnología publicitaria maliciosa (adtech), generando cientos de miles de sitios comprometidos y redirigiendo usuarios hacia malware, estafas y contenido engañoso, según un informe de Infoblox en colaboración con Guardio y Confiant.

Vane Viper, también llamado Omnatuor, no solo intermedia tráfico para distribuidores de malware y phishing, sino que también ejecuta sus propias campañas de fraude publicitario, aprovechando vulnerabilidades en sitios WordPress para construir una enorme red de dominios comprometidos. Su infraestructura ha generado aproximadamente 1 billón de consultas DNS en el último año en la mitad de las redes de sus clientes.

Entre las técnicas más destacadas del grupo se encuentra el abuso de permisos de notificaciones push, que permite servir anuncios incluso después de que el usuario abandona la página inicial. Además, se ha comprobado que los anuncios maliciosos de Vane Viper redirigen a extensiones de navegador dañinas, sitios de compras falsos, aplicaciones fraudulentas y malware para Android, incluyendo el conocido Triada.

Se estima que la red de Vane Viper incluye unos 60.000 dominios, la mayoría activos menos de un mes, aunque algunos han permanecido operativos más de 1.200 días, como omnatuor[.]com y propeller-tracking[.]com. La operación también registra miles de nuevos dominios cada mes, alcanzando 3.500 en octubre de 2024, frente a menos de 500 en abril de 2023.

Aunque PropellerAds, empresa vinculada a Vane Viper, ha negado cualquier irregularidad, calificando su papel como "intermediario automatizado para anunciantes", Infoblox advierte que Vane Viper funciona como una plataforma de amenazas, utilizando su sistema de distribución de tráfico (TDS) para entregar múltiples tipos de riesgos a gran escala, consolidando así una operación sofisticada de malvertising y fraude publicitario.

Fuente: The Hacker News