DNS-analyse ontmaskert verbanden tussen VexTrio en WordPress-hackers

vrijdag, 13 juni 2025 (13:26) - Techzine

In dit artikel:

Onderzoek door Infoblox onthult dat hackers die zich richten op WordPress-websites en operators van Traffic Distribution Systems (TDS) rondom het VexTrio-netwerk in werkelijkheid nauw samenwerken, ondanks eerdere veronderstellingen over hun onafhankelijkheid. Door het analyseren van 4,5 miljoen DNS TXT-records van geïnfecteerde websites over zes maanden, werden er twee verschillende command-and-control servers binnen Rusland geïdentificeerd, wat inzicht geeft in de opzet van deze DNS-malwarecampagnes.

Daarnaast blijken diverse commerciële adtech-bedrijven, zoals Partners House, Bro Push en RichAds, sterke overeenkomsten te vertonen met het VexTrio-netwerk en fungeren ze als schakel in het verspreiden van schadelijk verkeer. Na het stoppen van push monetization door het bedrijf Los Pollos nam het aantal nep-inlogschermen via andere adtech-ondernemingen toe. Hoewel de exacte relaties tussen deze bedrijven onduidelijk zijn, vormt hun langdurige samenwerking en het doorsturen van verkeer een kwetsbare plek in het ecosysteem. Alle betrokken partijen hebben een Russische connectie, maar er is geen direct bewijs voor gedeeld eigenaarschap.

De bedreiging blijft ernstig door de omvang en snelheid waarmee georganiseerde cybercriminelen zich aanpassen. Adtech-platforms kunnen kwaadaardige payloads op grote schaal aan miljoenen gebruikers leveren en maken gebruik van persoonlijke data om gericht slachtoffers te lokken. Daarbij worden duizenden legitieme websites, vooral WordPress-sites, misbruikt, wat de reputatie van getroffen organisaties schaadt.

Interessant is dat malware-actoren bij elk adtech-bedrijf unieke identificaties gebruiken, wat een zwakke plek in hun operatie blootlegt. Ze controleren netwerkpartners streng en verzamelen persoonlijke informatie en betalingsdata die tot echte identiteiten kunnen leiden. De uitdaging ligt nu bij de adtech-operators om actief samen te werken en deze malafide actoren van het internet te weren om verdere schade en financieel verlies te voorkomen.