Le ultime indagini hanno fatto luce su una collaborazione inquietante tra gruppi di hacker attivi su WordPress e aziende adtech, con l’obiettivo di costruire un'infrastruttura globale dedicata alla diffusione di malware.
Secondo il team di ricerca di Infoblox Threat Intel, al centro dell’operazione si trova VexTrio, un sistema di distribuzione del traffico (TDS) che reindirizza gli utenti del web attraverso una fitta rete di pubblicità fasulle, redirect ingannevoli e notifiche push fraudolente.
Il report cita aziende come Los Pollos, Partners House e RichAds, implicate nel sistema sia come intermediari sia come facilitatori, contribuendo attivamente all’espansione della minaccia.
Il caso Los Pollos e il TDS “Help”: così l’adtech ha alimentato la diffusione globale di malware
Il collegamento tra Los Pollos e il network VexTrio è emerso già durante le indagini sulle campagne di disinformazione legate alla Russia. In seguito a tali rivelazioni, Los Pollos annunciò l’interruzione del suo modello di monetizzazione tramite push link. Ma l’attività malevola non si è fermata: gli attori coinvolti hanno semplicemente cambiato approccio, adottando un nuovo sistema TDS denominato Help, che si è poi rivelato anch’esso parte del circuito VexTrio.
Le vulnerabilità nei siti WordPress sono diventate la porta d’ingresso per campagne malware su vasta scala: migliaia di portali sono stati compromessi, con script di reindirizzamento malevoli che utilizzano i record DNS TXT come meccanismo di command and control, per decidere in tempo reale dove inviare gli utenti.
Secondo l’analisi di oltre 4,5 milioni di risposte DNS raccolte tra agosto e dicembre 2024, vari ceppi malware apparentemente distinti condividevano hosting, infrastruttura e comportamenti. Tutto riconduceva a VexTrio o ai suoi proxy, come Help TDS e Disposable TDS. Gli script JavaScript usati avevano sempre lo stesso schema: disattivazione dei controlli di navigazione del browser, redirect forzati, finti concorsi a premi.
Particolarmente inquietante è il fatto che questi strumenti siano integrati direttamente in piattaforme adtech commerciali, mascherate da normali reti affiliate. Secondo Infoblox, “queste aziende mantenevano rapporti esclusivi con gli affiliati publisher, cioè gli hacker stessi, e ne conoscevano l’identità”.
Uno dei vettori più efficaci si è rivelato essere quello delle notifiche push. Gli utenti vengono convinti ad abilitare le notifiche tramite finti CAPTCHA, per poi ricevere link di phishing o malware, capaci di eludere firewall e antivirus. Alcuni messaggi passano addirittura da servizi affidabili come Google Firebase, rendendo quasi impossibile il rilevamento.
La sovrapposizione tra BroPush, RichAds, Partners House e altre piattaforme adtech, insieme a DNS mal configurati e script riciclati, suggerisce un’infrastruttura comune o condivisa, forse persino uno stesso ambiente di sviluppo.
Cosa possono fare gli utenti e gli amministratori di siti web?
– Evitare notifiche sospette e CAPTCHA dubbi
– Usare strumenti con accesso ZTNA (Zero Trust Network Access)
– Aggiornare WordPress e monitorare eventuali anomalie DNS
Il vero nodo, però, potrebbe essere proprio nelle mani delle aziende adtech, che, se lo volessero davvero, potrebbero disattivare l’intera rete con un solo intervento.