10 лет под носом у всех: Vane Viper контролирует триллион запросов в день — и ваш браузер ей помогает

На протяжении более десяти лет сеть Vane Viper остаётся одним из крупнейших скрытых игроков в сфере вредоносной онлайн-рекламы. Последний отчёт Infoblox, подготовленный совместно с Guardio и Confiant, показывает, что эта структура сумела выстроить целую экосистему, где рекламные технологии используются как прикрытие для распространения вредоносного ПО и мошеннических схем. В отчёте подчёркивается, что через инфраструктуру Vane Viper за последний год прошло около триллиона DNS-запросов, что составляет почти половину всего трафика в сетях клиентов Infoblox.

Организация, известная также под названием Omnatuor, действует по принципу крупного посредника: она не только перенаправляет трафик к загрузчикам вредоносного кода и фишинговым сайтам, но и самостоятельно запускает рекламные кампании, повторяющие технику уже выявленных схем клик-фрода. Её инфраструктура строится на тысячах скомпрометированных сайтов, преимущественно работающих на WordPress. На этих ресурсах разворачиваются страницы, перенаправляющие посетителей к рекламным ловушкам, вредоносным расширениям для браузеров, поддельным онлайн-магазинам, сомнительным сервисам загрузки программ и даже к мобильным троянам, таким как Android-вредонос Triada.

Одним из ключевых инструментов удержания аудитории остаются push-уведомления: злоумышленники заставляют браузер сохранять разрешение на показ сообщений, после чего через сервис workers реклама продолжает поступать даже тогда, когда пользователь покидает исходный сайт. Этот приём превращает браузер в фоновый канал распространения навязчивых уведомлений и вредоносных ссылок.

Похожая техника уже применялась в операции DeceptionAds, разоблачённой Guardio Labs: тогда именно сеть Vane Viper использовалась для реализации социальных кампаний в стиле ClickFix. Связи привели аналитиков к компании Monetag, которая оказалась дочерней структурой PropellerAds. Та, в свою очередь, входит в AdTech Holding, зарегистрированный на Кипре.

Следствие показало, что домены, связанные с PropellerAds, регулярно фигурируют в схемах перенаправления трафика на эксплойт-киты и мошеннические площадки. Более того, инфраструктура Vane Viper имеет пересечения с такими компаниями, как URL Solutions (также известная как Pananames), Webzilla и XBT Holdings. В портфель AdTech Holding, кроме PropellerAds и Monetag, входят и другие сервисы: ProPushMe, Zeydoo, Notix и Adex.

Сегодня в распоряжении Vane Viper около 60 тысяч доменов, при этом большинство живёт не дольше месяца, однако есть ресурсы с многолетней активностью, включая omnatuor[.]com и propeller-tracking[.]com. Начиная с 2023 года злоумышленники активно регистрируют новые доменные имена через URL Solutions: если весной 2023-го их число не превышало 500 в месяц, то к октябрю 2024 года показатель превысил 3,5 тысячи. В общей сложности доля доменов Vane Viper в массовой регистрации достигла почти половины. Такой подход позволяет постоянно обновлять пул площадок и обходить блокировки.

Несмотря на прямые улики, PropellerAds публично отклоняет обвинения, заявляя, что сервис якобы лишь автоматизированная платформа для связи рекламодателей с площадками и не имеет отношения к содержанию объявлений. Однако аналитики Infoblox отмечают: речь идёт не о скрывающемся за рекламной сетью преступнике, а о полноценном злоумышленнике, который сам превратился в рекламную платформу. По их словам, под вывеской «массового охвата и монетизации» клиенты на деле получают риски заражения и вовлечение в глобальную сеть мошенничества.

Vane Viper демонстрирует, что границы между легальным рынком рекламы и киберпреступностью могут быть намеренно размыты. Использование доменных ферм, сервисов push-уведомлений и масштабной инфраструктуры вывело эту сеть на уровень глобального игрока, контролирующего огромные объёмы трафика и поставляющего его на теневой рынок.