VexTrio ve Kötü Amaçlı Yazılımlar: Dijital Tehlikeye Dikkat!
Siber güvenlik uzmanları, giderek daha karmaşık hale gelen kötü amaçlı yazılım dağıtım sistemlerine dikkat çekiyor. VexTrio Viper Traffic Distribution Service (TDS), bu tehlikelerin başında geliyor. Kötü niyetli siber aktörlerin, çeşitli TDS hizmetleri ile ilişkilendirildiği biliniyor. Bu yazıda, VexTrio’nun işleyişine, nasıl çalıştığına ve buna karşı alınabilecek önlemlere değineceğiz.
VexTrio’nun Yapısı: Kötü Amaçlı Reklamcılık
VexTrio, çeşitli reklam formatları aracılığıyla dolandırıcılık ve zararlı yazılım dağıtan kötü amaçlı adtech şirketlerinin bir grubudur. Bu grup, smartlink ve push bildirimleri gibi yollarla, kullanıcıları zararlı içeriğe yönlendirmektedir. İlgili firmalar arasında Los Pollos, Taco Loco ve Adtrafico gibi isimler yer alıyor. Bu şirketler, malware aktörlerinin web sitelerine yönlendirilmiş kullanıcıları hedef alarak, çeşitli dolandırıcılık yöntemleri ile kar sağlamakta.
Kısacası, kötü amaçlı trafik dağıtım sistemleri, kurbanları SmartLink veya doğrudan tekliflerle hedeflerine yönlendirmek için tasarlanmıştır. Los Pollos, malware dağıtıcılarını (publishing affiliates) yüksek ücretli teklifler ile kandırırken; Taco Loco, push monetizasyonunda uzmanlaşmıştır.
WordPress Siteleri ve Kötü Amaçlı Kodlar
VexTrio saldırılarının önemli bir boyutu, WordPress sitelerinin ele geçirilmesi ve içine zararlı kodların eklenmesidir. Bu kodlar, redirection zincirinin başlamasına neden olarak, ziyaretçileri VexTrio’nun dolandırıcılık altyapısına yönlendirmektedir. Bu tür kötü amaçlı enjekte örnekleri arasında Balada, DollyWay, Sign1 ve DNS TXT kayıt kampanyaları bulunmaktadır.
GoDaddy tarafından yayınlanan bir raporda, bu kötü niyetli scriptlerin, VexTrio ile ilişkili trafik broker ağları üzerinden kullanıcıları çeşitli dolandırıcılık sayfalarına yönlendirdiği belirtilmektedir. VexTrio, global ağlarda zararlı yazılım ve dolandırıcılık faaliyetlerini yaymak için karmaşık DNS teknikleri ve alan adı üretim algoritmaları kullanmaktadır.
VexTrio’nun Faaliyetleri ve Etkileri
Kasım 2024 itibarıyla, Qurium’un araştırmaları, Los Pollos‘un VexTrio’nun bir parçası olduğunu ortaya çıkardığında, bu şirketin push link monetizasyonunu durdurması, VexTrio için büyük bir darbe oldu. Bu durum, Los Pollos’a bağımlı olan tehdit aktörlerinin alternatif yönlendirme noktalarına geçiş yapmasına sebep oldu. Help TDS ve Disposable TDS gibi seçenekler, bu bağlamda ön plana çıkmıştır.
Infoblox’un analizleri, 4.5 milyon DNS TXT kayıt yanıtını dikkate alarak, bu TDS’lerin farklı komut ve kontrol (C2) sunucularına sahip olduğunu göstermektedir. Her iki sunucu da Rusya ile bağlantılı altyapılar üzerinde barındırılmakta, ancak yanıtları arasında örtüşme olmamaktadır.
Help TDS ve Disposable TDS: İzlerinin Peşinde
Help TDS ve Disposable TDS’nin aslında aynı yapılar olduğu belirlenmiştir. VexTrio ile olan “exclusive relationship”leri, Kasım 2024’te sona ermiştir. Help TDS, geçmişte VexTrio alanlarına trafik yönlendirirken, şimdi Monetizer isimli yeni bir platforma geçiş yapmıştır. Infoblox’a göre, bu platform Rusya merkezli bir yapıyla bağlantılıdır ve zararlı yazılım dağıtımında daha sınırlı bir işlevsellik sunmaktadır.
VexTrio gibi TDS’ler arasında Partners House, BroPush, RichAds, Admeking ve RexPush gibi isimler de yer almaktadır. Bu firmalar, push bildirim hizmetleri aracılığıyla, Google Firebase Cloud Messaging (FCM) gibi teknolojiler kullanarak, kullanıcıları zararlı içeriğe yönlendirmektedir.
Kötü Amaçlı Yazılımlara Karşı Alınabilecek Önlemler
Kötü amaçlı yazılım dağıtım süreçlerinin karmaşıklığı, kullanıcıların bu tür saldırılara karşı daha dikkatli olmasını gerektiriyor. Internet kullanıcıları, çeşitli dolandırıcılıklara karşı koruma sağlamak için öncelikle dikkatli hareket etmelidir. Özellikle, bilinmeyen ve güvenilir olmayan sitelerden gelen bağlantılara tıklamamak, güvenlik yazılımlarını güncel tutmak ve düzenli olarak anti-malware taramaları yapmak büyük önem taşıyor.
Ayrıca, şirketlerin ve bireylerin siber güvenlik politikalarını gözden geçirecek, güvenlik yazılımlarını kuvvetlendirecek adımlar atması da tavsiye edilmektedir. Bireyler, siber dünyadaki güvenlik tehditlerine karşı daha bilinçli hale gelmek zorundadırlar. Gelişen tehlikeler karşısında alınacak tedbirler, dijital ortamda daha güvenli bir deneyim sunacaktır.
