La empresa cibercriminal VexTrio ha ejecutado una de las campañas de compromiso de WordPress más grandes registradas. Han logrado secuestrar cientos de miles de sitios web a nivel global para implementar sistemas de distribución de tráfico (TDS) que dirigen a los usuarios hacia redes de estafa complejas.
Esta operación maliciosa, activa desde al menos 2015, marca un cambio significativo en la manera en que los ciberdelincuentes monetizan la infraestructura web comprometida. Sitios web legítimos se convierten, sin saberlo, en parte de un extenso ecosistema publicitario criminal.
La magnitud de la operación de VexTrio se reveló cuando se descubrió que Los Pollos, una empresa de tecnología publicitaria suizo-checa, actuaba como fachada para la organización criminal. Las investigaciones indican que casi el 40% de los sitios web comprometidos que redirigían visitantes canalizaban el tráfico a VexTrio a través de los enlaces de Los Pollos, afectando a varias campañas de malware, incluyendo Balada, DollyWay y Sign1.
Estos compromisos han persistido durante años, con algunas relaciones con afiliados que se remontan a mayo de 2019, lo que demuestra la notable longevidad y estabilidad de la infraestructura criminal de VexTrio.
Los analistas de Infoblox identificaron la intrincada relación entre los actores de malware de WordPress y la tecnología de publicidad maliciosa a través de un análisis exhaustivo de más de 4,5 millones de consultas de DNS que abarcan seis meses.
Los investigadores descubrieron que cuando Los Pollos anunció el cese de sus servicios de monetización push el 17 de noviembre de 2024, múltiples operaciones de malware aparentemente independientes migraron simultáneamente a lo que parecía ser un nuevo TDS llamado Help TDS, revelando una infraestructura criminal coordinada que anteriormente había permanecido oculta.
La empresa criminal opera a través de una compleja red de redes publicitarias de afiliados que desdibujan la línea entre los servicios de marketing legítimos y el ciberdelito.
Estas empresas reclutan tanto afiliados editoriales que comprometen sitios web como afiliados publicitarios que crean el contenido malicioso entregado a las víctimas, creando una economía criminal autosostenida que ha generado ganancias sustanciales para los participantes durante casi una década.
Uno de los aspectos más sofisticados de la operación de VexTrio implica el abuso de los registros DNS TXT como mecanismo de comando y control, transformando el sistema de nombres fundamental de Internet en un canal de comunicación encubierto para operaciones de malware.
Esta técnica, documentada por primera vez por investigadores de seguridad en agosto de 2023, representa una evolución significativa en el diseño de la infraestructura de malware que aprovecha la naturaleza confiable de las comunicaciones DNS para evadir la detección.
Las campañas de malware utilizan registros DNS TXT para codificar URL con formato Base64 que dirigen a los visitantes del sitio web comprometido a contenido malicioso.
Cuando una víctima visita un sitio de WordPress infectado, los scripts maliciosos consultan automáticamente dominios DNS específicos controlados por los atacantes, recuperando instrucciones de redirección codificadas que aparecen como tráfico DNS legítimo para los sistemas de monitoreo de red.
La consulta DNS en sí contiene información codificada sobre el visitante del sitio web incorporada en el nombre de host, lo que permite que el servidor de comando y control adapte las respuestas según las características de la víctima, como la ubicación geográfica, el tipo de navegador y la fuente de referencia.
El análisis de la infraestructura de comando y control reveló dos grupos operativos distintos, cada uno de los cuales mantiene acuerdos de alojamiento y convenciones de formato de URL separados y, en última instancia, dirige el tráfico a los mismos destinos criminales.
El primer clúster utilizó dominios como cndatalos[.]com y data-cheklo[.]world alojados en las direcciones IP 46[.]30[.]45[.]27 y 65[.]108[.]195[.]250, mientras que el segundo clúster empleó dominios como webdmonitor[.]io y logs-web[.]com en infraestructura que incluía 185[.]11[.]61[.]37 y 185[.]234[.]216[.]54.
Este sistema de comando y control basado en DNS va más allá de la simple redirección de URL. Incorpora capacidades de respuesta dinámica, lo que permite a los operadores ajustar el comportamiento de la campaña en tiempo real sin necesidad de actualizar el malware en los sitios web afectados.
Este diseño arquitectónico ofrece una flexibilidad operativa inigualable y mantiene la persistencia a través de sistemas de monitoreo automatizados. Estos sistemas detectan y reactivan complementos maliciosos que hayan sido deshabilitados, haciendo que la reparación completa sea excepcionalmente difícil para los administradores de sitios web y los equipos de seguridad.
